Trasferimento di dati al di fuori dell’UE: Decisione Bindl/Commissione (Accedi con Facebook)
I. Introduzione
All’inizio di gennaio l’Autorità turca per la protezione dei dati personali ha pubblicato le Linee guida sui trasferimenti internazionali di dati personali. In seguito a questa pubblicazione, i trasferimenti internazionali di dati sono diventati una questione importante nel campo della legge e della cybersecurity nel Paese. In questo articolo analizzeremo la sentenza del Tribunale della Corte di giustizia dell’Unione europea (“Tribunale”) nella causa Bindl/Commissione, annunciata il mese scorso, relativa al trasferimento di dati verso Paesi terzi.
II. Affermazioni e rivendicazioni del Richiedentetions and Claims of the Applicant
Nel 2021 e nel 2022, Bindl, persona fisica di nazionalità tedesca, ha visitato in diverse occasioni il sito web della Conferenza sul futuro dell’Europa, associata alla Commissione europea (“Commissione”). In particolare, ha visitato il sito web utilizzando l’opzione “Accedi con Facebook” tramite il servizio di autenticazione del login UE della Commissione (EU Login, ex ECAS) per registrarsi all’evento “GoGreen”. Il richiedente ha sostenuto che i suoi dati personali, tra cui l’indirizzo IP e le informazioni sul browser e sul terminale, sono stati trasferiti negli Stati Uniti (U.S.) quando ha utilizzato il sito web.
Il ricorrente ha innanzitutto sostenuto che i suoi dati personali sono stati trasferiti ad Amazon Web Services, l’operatore di Amazon CloudFront, la rete di distribuzione dei contenuti utilizzata sul sito web in questione: il suo reclamo è stato respinto.
In secondo luogo, quando si è iscritto all’evento GoGreen utilizzando il suo account Facebook, i suoi dati sono stati trasferiti a Meta Platforms, Inc.
Secondo le affermazioni del ricorrente, gli Stati Uniti non avevano un livello adeguato di protezione dei dati e questi trasferimenti di dati rappresentavano addirittura un rischio di accesso ai suoi dati personali da parte dei servizi di sicurezza e di intelligence statunitensi. La Commissione non ha presentato garanzie adeguate per giustificare questi trasferimenti.
Il ricorrente ha chiesto alla Commissione di versargli 400 euro a titolo di risarcimento del danno morale subito a causa di tali trasferimenti.
In secondo luogo, il ricorrente ha chiesto al Tribunale di annullare il trasferimento dei suoi dati personali, di dichiarare che la Commissione ha illegittimamente omesso di definire la sua posizione sulla richiesta di informazioni e di condannare la Commissione a versargli 800 euro di risarcimento per il danno morale subito a causa della violazione del suo diritto di accesso alle informazioni.
III. Osservazioni e sentenza della Corte di giustizia dell’Unione europea ations and Judgment of the Court of Justice of the European Union
Il Tribunale ha respinto il secondo gruppo di domande e la domanda relativa ad Amazon CloudFront.
La situazione è diversa per la registrazione della ricorrente all’evento GoGreen tramite EU Login con l’opzione “Accedi con Facebook”. Il Tribunale ha concluso che il trasferimento dell’indirizzo IP della ricorrente alla Meta Platforms, un’impresa con sede negli Stati Uniti, deve essere attribuito alla Commissione. Alla data del trasferimento (30 marzo 2022), non esisteva alcuna decisione della Commissione che riconoscesse che gli Stati Uniti garantissero un livello adeguato di protezione dei dati.
Secondo la sentenza del Tribunale, la Commissione non ha nemmeno affermato e dimostrato l’esistenza di una salvaguardia adeguata, come una clausola standard sulla protezione dei dati o una clausola contrattuale. In questo caso, la visualizzazione del collegamento ipertestuale “Accedi con Facebook” sulla pagina in questione era interamente soggetta ai termini e alle condizioni generali della piattaforma Facebook. Pertanto, la Commissione non ha rispettato le condizioni stabilite dal diritto dell’UE per il trasferimento di dati personali da parte di un’istituzione, un organo o un organismo dell’UE a un Paese terzo.
Di conseguenza, il Tribunale ha concluso che la Commissione ha commesso una violazione sufficientemente grave di una norma di legge che conferisce diritti alle persone. Pertanto, il Tribunale ha stabilito che il ricorrente ha subito un danno morale a causa dell’incertezza in relazione al trattamento dei suoi dati personali, in particolare del suo indirizzo IP. Il Tribunale ha inoltre ritenuto che vi fosse un nesso causale sufficientemente diretto tra la violazione da parte della Commissione e il danno morale subito dal ricorrente. A seguito di queste osservazioni, il Tribunale ha condannato la Commissione a pagare al ricorrente i 400 euro di danno morale da lui richiesti, essendo soddisfatte le condizioni per la responsabilità extracontrattuale dell’Unione europea.
IV. Situazione generale tra l’UE e gli Stati Uniti.al Situation between the EU and the U.S.
Il punto di svolta per quanto riguarda i trasferimenti di dati dall’UE agli Stati Uniti è stata la decisione Schrems II della Grande Camera del 16 luglio 2020. In tale decisione, il Tribunale ha invalidato il quadro normativo “Privacy Shield” che regola il trasferimento di dati tra l’UE e gli Stati Uniti sulla base del fatto che gli Stati Uniti non erano in grado di proteggere i dati al livello richiesto dall’Europa. Questa decisione ha fatto sì che non esistesse una decisione di adeguatezza valida che regolamentasse i trasferimenti di dati con gli Stati Uniti. Poiché non è stata presa alcuna decisione di adeguatezza in seguito (fino a luglio 2023), le aziende e le organizzazioni che desideravano trasferire dati negli Stati Uniti erano tenute ad adottare misure di sicurezza aggiuntive. Il 4 giugno 2021, la Commissione ha pubblicato le Clausole contrattuali standard dell’UE (SCC). Pertanto, le precedenti clausole contrattuali standard sono state invalidate per i trasferimenti di dati verso Paesi terzi a partire dal 27 dicembre 2022. Il trasferimento a cui si riferisce la sentenza Bindl è avvenuto quando non c’era alcun accordo o decisione di adeguatezza tra l’UE e gli Stati Uniti. Un nuovo quadro transatlantico ha iniziato a essere negoziato nel 2022, e una decisione di adeguatezza è stata presa per il quadro UE-USA sulla privacy il 10 luglio 2023.
V. Analisi e conclusioni
In conclusione, per garantire la sicurezza del trasferimento dei dati a Paesi terzi è necessario verificare innanzitutto se tali Paesi soddisfano i criteri di sicurezza dei dati e sono coperti da una decisione di adeguatezza. Nei Paesi per i quali non esiste una decisione di adeguatezza, è importante utilizzare strumenti giuridici, come le clausole contrattuali standard adottate dalla Commissione, le clausole contrattuali soggette all’approvazione del Garante europeo della protezione dei dati e le norme aziendali vincolanti notificate all’autorità di protezione dei dati del Paese in questione, e adottare ulteriori garanzie (misure tecniche come la crittografia, l’anonimizzazione dei dati). A questo punto, è necessario sottolineare che la Türkiye è inclusa tra i Paesi privi di una decisione di adeguatezza.
Sebbene l’importo del risarcimento concesso alla fine non sia molto elevato, la decisione è importante in quanto evidenzia la necessità che non solo le aziende private ma anche le istituzioni statali agiscano nell’ambito di adeguate garanzie per la protezione dei dati personali. La decisione è utile anche per sottolineare l’attenzione che l’amministrazione dovrebbe prestare alla legislazione sulla protezione dei dati personali, la necessità di proteggere i diritti degli individui contro l’amministrazione attraverso meccanismi giudiziari efficaci e l’importanza delle decisioni di risarcimento dei tribunali a questo proposito. Tuttavia, la decisione è interessante fino a un certo punto. Aprendo un account Facebook e utilizzando l’opzione “Accedi con Facebook” su qualsiasi sito web, il richiedente è già esposto al trasferimento di dati in base ai termini e alle condizioni generali della piattaforma Facebook. Pertanto, il trasferimento di dati a Meta Platforms, che secondo il ricorrente avrebbe causato un danno morale (e il rischio che i suoi dati possano essere consultati dalle forze di sicurezza e di intelligence statunitensi, se le sue affermazioni corrispondono al vero), avviene già anche se il ricorrente non accede mai a un sito web della Commissione perché è un utente di questa piattaforma per sua scelta.
La legge turca prevede anche il risarcimento dei danni in caso di mancata protezione dei dati personali, ai sensi della legge n. 6698 sulla protezione dei dati personali e di altre disposizioni generali. Di conseguenza, data la stretta relazione tra la protezione dei dati personali e la tutela dei diritti della persona, è possibile richiedere il risarcimento dei danni morali quando esiste un nesso di causalità. Tuttavia, tali richieste non sono attualmente comuni, soprattutto nei procedimenti amministrativi, e non hanno risonanza presso il pubblico. Ciò può essere dovuto alla lunga durata dei procedimenti giudiziari e alla scarsa entità dei danni morali che si possono ottenere alla fine del processo.
İdil Aşkın, Associato
