Il Safe Harbor - anche detto “Approdo Sicuro” - è stato il primo accordo tra Europa e Stati Uniti in materia di protezione dei dati personali, nato con l’obiettivo fondamentale di “costituire un insieme di requisiti utili alla protezione dei dati personali online, come ad
esempio quelli che gli utenti inseriscono in Facebook, Google ed Ebay, quando questi vengono trasferiti oltre-oceano” . Si trattava di un 172
accordo, quindi, finalizzato ad adeguare lo scenario normativo statunitense, particolarmente settoriale e frammentario con elementi di autoregolamentazione, alle disposizioni presenti nel più unitario e garantista panorama europeo, allora disciplinato dalla Direttiva 95/46/ CE.
Il Safe Harbour è entrato in vigore il 26 luglio 2000, quando la Commissione europea ha riconosciuto, attraverso la Decisione 2000/520/CE, l’adeguatezza della protezione offerta, al trasferimento dei dati, dai c.d. Safe Harbour Privacy Principles emessi dal U.S. Department of Commerce . Di conseguenza, si è consentito, alle 173
organizzazioni statunitensi soggette al suddetto Dipartimento e volontariamente aderenti al sistema dei Principles, di importare dati personali dall’Unione europea in base ad un meccanismo di presunzione di adeguatezza delle operazioni di trasferimento dei dati alla direttiva comunitaria del 1995.
Questo, come vedremo, è stato il sistema vigente fino alla c.d. sentenza Schrems della Corte di giustizia dell’Unione europea che ha dichiarato l’invalidità della decisione della Commissione del 26 luglio 2000, e determinato, come conseguenza immediata, il crollo dell’intero sistema del Safe Harbour, considerato incompatibile con i principi comunitari in materia di flusso oltreoceano dei dati personali.
In particolare, l’esame dell’accordo e del caso concreto che ne ha
J. NATALI, Cos’è il Safe Harbour, l'accordo per la protezione dei dati online?, la
172
Repubblica, 1 febbraio 2016, in https://www.repubblica.it/europa/2016/02/01/news/ cos_e_il_safe_harbour_l_accordo_per_la_protezione_dei_dati_online_-49561/.
Il dicastero del governo federale statunitense che “promuove la creazione di posti
173
di lavoro e la crescita economica garantendo un commercio equo e reciproco, fornendo i dati necessari a sostenere il commercio e la democrazia costituzionale e promuovendo l'innovazione stabilendo standard e conducendo ricerca e sviluppo di base”. U. S. DEPARTMENT OF COMMERCE, About commerce, in https:// www.commerce.gov/about.
determinato il superamento, è emblematico di quelli che erano i principali difetti del sistema previgente e degli ostacoli più complessi da superare nella conciliazione dei sistemi statunitense ed europeo di protezione dei dati.
3.3.1. I Safe Harbour Privacy Principles: profili generali, limiti e
struttura
I lavori per la redazione dei Safe Harbour Privacy Principles hanno avuto inizio alcuni anni dopo l’entrata in vigore della direttiva europea del ’95, e hanno visto impegnati il governo statunitense e le istituzioni comunitarie in una trattativa complessa durata circa due anni, al cui termine, nel luglio del 2000, è stato siglato l’accordo definitivo.
La finalità di questo agreement, fondato sui Principles, era individuata dallo stesso Department of Commerce nella volontà di “diminish this uncertainty and provide a more predictable framework for such data transfers” , vale a dire ridurre le incertezze nel trasferimento dei dati 174
attraverso l’elaborazione di un quadro più prevedibile per ogni trasferimento, in modo da promuovere e sviluppare il commercio internazionale e gli scambi commerciali fra Stati Uniti ed Unione europea, per l’incoraggiamento dei quali era indispensabile avere un quadro normativo rispettoso delle garanzie richieste dal modello comunitario.
La premessa del Department of Commerce era del tutto coerente con la struttura base del sistema dei Principles, poiché tali principi erano destinati, come scrivono Sica e D’Antonio, “ad essere utilizzati
U. S. DEPARTMENT OF COMMERCE, Safe Harbor Privacy Principles, 21
174
esclusivamente da organizzazioni (non necessariamente imprese) statunitensi che intendano importare dati personali dall’Unione europea al fine di conformarsi, giovandosi di un meccanismo presuntivo, al livello di protezione adeguato che la direttiva comunitaria imponeva per i flussi extraeuropei di informazioni” . 175
Questo faceva sì, innanzi tutto, che il sistema dei Principles si basasse sull’adesione volontaria - c.d. self-certification scheme - delle organizzazioni statunitensi al sistema fondato sull’idea dei padri dell’accordo, su un nucleo di principi tratti dalla direttiva 95/46/CE, funzionali a garantire ai cittadini europei, i cui dati venivano esportati oltreoceano, un livello di garanzie adeguato.
Questo sistema di adesione volontaria, però, unito alla presunzione di adeguatezza, ha sollevato non pochi dubbi circa l’effettività e solidità della tutela, poiché, come osservato da Montalero, tale meccanismo costituiva già in sé “una ‘riduzione’ delle disposizioni chiave della normativa comunitaria in materia” . Questo perché, come anticipato, 176 ciascuna impresa privata statunitense poteva decidere volontariamente se aderire, e nel caso in cui ciò fosse avvenuto, l’operatore si sarebbe vincolato in primo luogo a informare i soggetti dello scopo per cui le informazioni raccolte venivano usate, e in secondo luogo a consentire l’accesso ai dati, e successivamente assicurare la possibilità per l’interessato di modificare tali dati. Tuttavia ciò era vero sul piano
S. SICA, V. D’ANTONIO, Verso il Privacy Shield: il tramonto dei Safe Harbour
175
Privacy Principles, in La protezione transnazionale dei dati personali. Dai “Safe Harbour Principles” al “Safe Harbour”, Roma TrE - Press, 2016, pag. 145, in https://iris.polito.it/retrieve/handle/11583/2650962/124400/
La%20protezione%20transnazionale%20dei%20dati%20personali%20dai%20safe% 20harbour%20principles%20al%20privacy%20shield.pdf.
A. MONTALERO, I flussi di dati transfrontalieri e le scelte delle imprese tra Safe
176
Harbour e Privacy Shield, in La protezione transnazionale dei dati personali. Dai “Safe Harbour Principles” al “Privacy Shield”, Roma TrE - Press, 2016, pag. 342, in https://iris.polito.it/retrieve/handle/11583/2650962/124400/
La%20protezione%20transnazionale%20dei%20dati%20personali%20dai%20safe% 20harbour%20principles%20al%20privacy%20shield.pdf.
teorico, ma vedremo come non fosse tradotto in modo adeguato sul piano applicativo pratico. Questo meccanismo, inoltre, riguardava solo quei dati trasferiti dopo l’adesione al sistema, e ciò era sufficiente per creare una presunzione di adeguatezza della tutela dei dati importati dall’Unione europea, considerato anche che lo stesso Safe Harbor Agreement fu ritenuto, da parte della Commissione, l’accordo che meglio era in grado di assicurare la salvaguardia dei dati relativi ai cittadini europei.
Proprio in virtù di questo meccanismo di adesione volontaria al sistema e al fine di assicurare l’applicazione corretta e costante dei Principles e della decisione 2000/520 che li aveva recepiti, il Department, redasse e rese disponibile un elenco delle organizzazioni che avevano deciso di aderire ai Safe Harbour, in modo da renderle riconoscibili sia ai privati i cui dati sarebbero poi stati soggetti al trasferimento oltreoceano, sia alle autorità di controllo comunitarie per l’espletamento delle funzioni di vigilanza e garanzia del rispetto, da parte delle organizzazioni aderenti e indicate nell’elenco, delle tutele richieste dalla direttiva.
Tuttavia, anche questo elemento era accompagnato da un grosso limite oggettivo, poiché l’applicazione dei Safe Harbor Principles era prevista solo per le organizzazioni operanti nei settori di competenza della Federal Trade Commission (FTC) . 177
Da ciò derivava l’esclusione di tutte quelle imprese ed organizzazioni che erano soggette al controllo di autorità diverse dalla FTC, come ad esempio le imprese di telecomunicazioni, la cui Autorità di riferimento era la Federal Communication Commission (FCC).
Un ulteriore punto critico era dato dalla presenza della c.d. supremacy
Agenzia indipendente del governo degli Stati Uniti con la missione principale di
177
“proteggere i consumatori e promuovere la concorrenza”. FEDERAL TRADE COMMISSION, What we do, in https://www.ftc.gov/about-ftc/what-we-do.
clause, in base alla quale il diritto statunitense si poneva in una posizione di quasi supremazia rispetto all’accordo. La clausola era contenuta nell’apertura dell’allegato I alla decisione 2000/520/CE, relativo ai principi dell’approdo sicuro, e disponeva una deroga importante alla loro applicazione in alcuni casi particolari . 178
Ciò comportava, dunque, una deroga al Safe Harbor da parte delle imprese aderenti all’accordo nei casi di sussistenza di situazioni giustificate da esigenze “superiori”, andando a risolvere in modo assai discutibile un conflitto tra diritti fondamentali che, come osservato da Riccio, “non può essere ingabbiato in una prospettiva statica, finalizzata ad evidenziare la supremazia di un diritto su di un altro” . 179 A fronte di questi profili problematici, la Commissione aveva espresso qualche accorgimento con due comunicazioni adottate nel 2013, in cui manifestava la propria preoccupazione sul livello di tutela dei dati dei cittadini europei trasferiti verso gli Stati Uniti nell’ambito del sistema delineato dal Safe Harbour, soprattutto per quanto riguardava l’adesione volontaria e la clausola di supremazia, considerate lesive della trasparenza necessaria per l’attuazione dell’accordo.
All. 1, decisione 2000/520/CE: “L’adesione a tali principi può essere limitata: a)
178
se ed in quanto necessario per soddisfare esigenze di sicurezza nazio- nale, interesse pubblico o amministrazione della giustizia; b) da disposizioni legislative o
regolamentari ovvero decisioni giurisdizionali quando tali fonti comportino obblighi contrastanti od autorizzazioni esplicite, purché nell'avvalersi di un'autorizzazione siffatta un'organizazione possa dimostrare che il mancato rispetto dei principi da parte sua si limita a quanto strettamente necessario per soddisfare i legittimi interessi d'ordine superiore tutelati da detta autorizzazione; oppure c) se la direttiva o la legislazione degli Stati membri rendono possibili eccezioni o deroghe, a condizione che tali eccezioni o deroghe si applichino in contesti comparabili”, in https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:
32000D0520&from=en.
G. M. RICCIO, Model Contract Clauses e Corporate Binding Rules: valide
179
alternative al Safe Harbor Agreement? in La protezione transnazionale dei dati personali. Dai “Safe Harbour Principles“ al “Privacy Shield”, Roma TrE - Press, 2016, pag. 220, in https://iris.polito.it/retrieve/handle/11583/2650962/124400/ La%20protezione%20transnazionale%20dei%20dati%20personali%20dai%20safe% 20harbour%20principles%20al%20privacy%20shield.pdf.
Nella comunicazione COM (2013) 847 final sul funzionamento di 180
Safe Harbor, la Commissione sottolineava il rischio derivante dal fatto che, tra le imprese aderenti all’accordo rientrassero anche alcune società fortemente attive nel settore di Internet, come Google e Facebook, le quali trasferivano un ingente numero di dati personali di cittadini europei verso gli Stati Uniti, dove i loro server erano ubicati. La preoccupazione derivava soprattutto dalle rilevazioni sull’utilizzo del programma PRISM , che poneva seri dubbi sul Safe Harbor, 181
essendo diventato, in via patologica, una porta di accesso delle pubbliche autorità di intelligence alla raccolta di dati personali inizialmente trattati nell’Unione europea, con la possibilità, dunque, che le società aderenti al sistema permettessero, applicando disposizioni legislative in deroga all’applicazione dei Principi e grazie alla clausola di supremazia, l’accesso e il trattamento di tali dati da parte delle autorità statunitensi, giustificando tali operazioni, generalmente, con la tutela della sicurezza nazionale.
Questi erano, quindi, gli elementi essenziali della struttura base dell’accordo e i principali limiti che poi hanno condotto alla crisi del sistema del Safe Harbour, la cui conoscenza, seppur a grandi linee, è necessaria per comprendere il ragionamento della Corte di giustizia nel
COMMISSIONE EUROPEA, Comunicazione della Commissione al Parlamento
180
europeo e al Consiglio sul funzionamento del regime “Approdo sicuro” dal punto di vista dei cittadini dell’UE e delle società ivi stabilite, Bruxelles, 27.11.2013, in http:// www.europarl.europa.eu/meetdocs/2014_2019/documents/com/
com_com(2013)0847_/com_com(2013)0847_it.pdf.
”Prism ha il compito di sorvegliare le comunicazione dal vivo degli utenti fatte
181
via email, chat, chat vocali e videochat, video, foto, conversazioni VoIP, trasferimento di file, notifiche d'accesso. Tutta quella che è la nostra attività telefonica e su internet, insomma. Un lavoro di questo tipo non si può mettere in piedi se non c'è la collaborazione (consapevole o meno) delle aziende che offrono questo tipo di servizi, ragion per cui con il passar del tempo è venuto fuori i colossi di internet Google, Facebook, Microsoft, Skype, Apple Yahoo, AOL si fossero prestati a una collaborazione con la NSA”, così Andrea Signorelli in Che cos’è PRISM, tutti i numeri del programma di sorveglianza dell’NSA, Polisblog, 26 ottobre 2013, in https://www.polisblog.it/post/166863/che-cose-prism-il-programma-di-sorveglianza- dellnsa.
caso Schrems. Essenziale, però, è individuarne anche la struttura e l’articolazione, sia nella sua forma originaria che nel suo recepimento attraverso la decisione 2000/520/CE, la quale, come già anticipato, ha la sua importanza per aver giudicato adeguati, a suo tempo, i livelli di tutela garantiti dall’approdo sicuro.
3.3.2. Struttura e contenuti dei Principles
Il sistema dei Safe Harbour Principles si componeva di 7 principi generali e 15 frequently asked questions and answers (FAQs), da leggere in combinato disposto ed in una logica di interpretazione complessiva al fine di favorirne l’applicazione ed il concreto recepimento da parte delle organizzazioni americane.
I principi generali e le FAQs che componevano il Safe Harbour erano riprodotti, rispettivamente, nell’allegato 1 e nell’allegato 2 alla decisione 200/520/CE, diventandone parte integrane e rendendoli parte del diritto comunitario.
3.3.2.1. I principi generali del Safe Harbour Agreement
Il primo dei principi generali del Safe Harbour Agreement era dedicato ai generali doveri di informazione - c.d. notice principles - a favore degli interessati, principio parzialmente analogo a quello sancito dagli articoli 10 e 11 della direttiva 95/46/CE. In base a questo primo principio, le organizzazioni aderenti al sistema avrebbero dovuto informare gli individui in merito alle finalità per cui venivano raccolti i loro dati, alle modalità per contattare le organizzazioni in relazione ad
eventuali quesiti o reclami, alla tipologia dei terzi a cui venivano forniti i dati, e ai mezzi che le organizzazioni mettevano a disposizione dei singoli per limitare l’utilizzo delle informazioni e la loro rivelazione a terzi. L’adempimento dei doveri di informazione doveva avvenire utilizzando un linguaggio chiaro, sia anticipatamente rispetto alla prima raccolta dei dati, sia prima che le organizzazioni utilizzassero o rivelassero a terzi le informazioni per finalità diverse da quelle che avevano giustificato l’iniziale raccolta.
Il secondo principio dettava il c.d. choice principle, in relazione al quale si distingueva fra il trattamento dei dati comuni e il trattamento dei c.d. dati sensibili. Per i primi, il paradigma che orientava l’azione delle organizzazioni era quello dell’opt-out, in base al quale l’interessato doveva avere la possibilità di esercitare una vera e propria facoltà di rifiuto rispetto alla rivelazione a terzi dei propri dati personali, nonché in ordine all’utilizzazione degli stessi per fini incompatibili con quelli per cui le informazioni stesse erano state originariamente raccolte, o con quelli successivamente autorizzati , 182
potendosi trattare anche di un consenso implicito. Diverso e più rigido il meccanismo per i dati sensibili, basato sul paradigma dell’opt-in, in base al quale il consenso dell’interessato doveva essere sempre e necessariamente esplicito.
I primi due principi, notice e choice, come codificati nel Safe Harbour, si applicavano anche al terzo principio generale, relativo ai c.d trasferimenti successivi o onward transfer principle , quando cioè 183
S. SICA, V. D’ANTONIO, Verso il Privacy Shield: il tramonto dei Safe Harbour
182
Privacy Principles, cit., pag. 147, in
https://iris.polito.it/retrieve/handle/11583/2650962/124400/
La%20protezione%20transnazionale%20dei%20dati%20personali%20dai%20safe% 20harbour%20principles%20al%20privacy%20shield.pdf.
E. CARPANELLI, N. LAZZERINI, Use and Misuse of New Technologies:
183
Contemporary Challenges in International and European Law, Springer, Springer, Cham, 2019, pag. 126.
l’ente statunitense intendeva trasferire i dati personali a terzi. Quando il terzo destinatario dei dati agiva in qualità di rappresentante, l’importatore, prima di procedere al trasferimento, doveva accertarsi che il destinatario aderisse ai Principles o, comunque, rientrasse nel campo d’applicazione delle norme comunitarie in materia o, ancora, di altri modelli che garantissero tutele adeguate per gli interessati. L’organizzazione statunitense, inoltre, per procedere al trasferimento dei dati personali a terzi, poteva stipulare con questi ultimi un accordo scritto che comportasse per essi l’obbligo di offrire almeno lo stesso livello di protezione dei dati richiesto dai Principles.
Coerentemente con le regole stabilite nella direttiva 95/46/CE, poi, un importatore di dati statunitense era soggetto anche ai principi di sicurezza, c.d. security principle, ed integrità dei dati personali, il c.d. data integrity principle, che rappresentavano il quarto e il quinto principio generale del Safe Harbour. In particolare, il security principle imponeva alle organizzazioni che detenevano, aggiornavano, utilizzavano o diffondevano informazioni personali, di prendere precauzioni per proteggerle da perdita, abusi e dall’accesso, rivelazione, alterazione e distruzione non autorizzati; il data integrity principle, invece, coerentemente con il c.d. data quality principle 184 previsto dalle linee guida dell’Organizzazione per la cooperazione e lo sviluppo economico, imponeva la pertinenza dei dati ai fini per cui erano stati raccolti od a quelli successivamente autorizzati dagli interessati, ed ogni organizzazione doveva prendere provvedimenti ragionevoli per garantire che i dati fossero attendibili in funzione dell'uso che si prevedeva di farne, accurati, completi e aggiornati. Il sesto principio generale era analogo all’art. 12 della direttiva 95/46/ CE, e garantiva agli interessati la facoltà di accesso ai dati, l’access
OECD, Guidelines on the Protection of Privacy and Transborder Flows of
184
principle, con il potere di rettifica, aggiornamento e cancellazione degli stessi, potere che poteva essere limitato soltanto in ipotesi particolari.
L’ultimo dei principi era quello di enforcement, inerente alla predisposizione di quei meccanismi volti a garantire il rispetto dei Principles, la possibilità di ricorso per gli individui cui si riferivano i dati e che fossero stati lesi nei propri interessi dal mancato rispetto dei principi dell’accordo e la non impunità degli enti inadempienti.
Alla luce dei principi esposti, risulta chiaro quanto scritto da Sica e D’Antonio riguardo ai principi generali del Safe Harbour: “i sette principi codificati in sede di accordo USA – UE finiscono per imporre all’importatore americano di dati personali di matrice europea gli obblighi essenziali che la direttiva 94/46/CE prescrive in capo ai titolari di trattamento comunitari, con una sostanziale esportazione, unitamente ai dati personali, del modello europeo di disciplina del diritto alla riservatezza” . 185
3.3.2.2. Le Frequently Asked Questions and Answers (FAQs)
Come anticipato, i sette principi generali che formavano il nucleo dei Safe Harbour Principles devono essere letti, interpretati ed applicati insieme alle 15 Frequently Asked Questions and Answers (FAQs), anch’esse recepite in sede comunitaria con la decisione 2000/520 attraverso l’allegato 2, e che riguardavano alcuni aspetti specifici
S. SICA, V. D’ANTONIO, Verso il Privacy Shield: il tramonto dei Safe Harbour
185
Privacy Principles, cit., pag. 149, in
https://iris.polito.it/retrieve/handle/11583/2650962/124400/
La%20protezione%20transnazionale%20dei%20dati%20personali%20dai%20safe% 20harbour%20principles%20al%20privacy%20shield.pdf.
dell’applicazione dei Principles . 186
Alla luce dei rapporti tra modello statunitense e modello comunitario, le regole operative che emergono dalla lettura coordinata delle FAQ, erano funzionali sia a completare l’adeguamento delle tutele garantite dall’ordinamento statunitense con quelle pretese dalla direttiva 95/46/ CE e dall’ordinamento comunitario in generale, sia a marcare le differenze rispetto all’acquis comunitario in materia di tutela della 187
privacy.
Un esempio era l’equilibrio delicato oggetto della FAQ 2 relativa al rapporto tra diritto alla privacy e libertà di stampa, la quale sembrava attribuire prevalenza non al più garantista modello comunitario, ma alla tutela della libertà di stampa sancita dal Primo Emendamento alla Costituzione americana, affermando che “laddove il diritto alla libertà di stampa, sancito dal primo emendamento della Costituzione statunitense, interferisca con gli interessi legati alla protezione della sfera privata l'equilibrio tra gli interessi in causa è disciplinato dal primo emendamento per quanto riguarda le attività di persone od organizzazioni statunitensi. Indipendentemente dal fatto che se ne faccia o no impiego, non sottostanno alle prescrizioni in tema di «approdo sicuro» le informazioni personali raccolte per pubblicazioni, trasmissioni radiotelevisive od altre forme di comunicazione pubblica
Gli aspetti applicativi del Safe Harbour che le FAQs mirano a chiarire sono i
186
seguenti: dati sensibili, eccezioni giornalistiche, ︎responsabilità accessoria, attività bancarie d'investimento e revisori contabili,︎ ruolo delle Autorità per la tutela dei dati (ATD),︎ autocertificazione,︎ verifica,︎ accesso,︎ risorse umane,︎ articolo 17: contratti, risoluzione delle controversie e modalità di controllo dell'applicazione (enforcement), principio della scelta, informazioni relative ai viaggiatori, medicinali e prodotti farmaceutici.
Esse, come specificato, sono consultabili nell’Allegato 2 della decisione 2000/520/ CE su https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:
32000D0520&from=en.