La corte di giustizia annulla il Privacy Shield che disciplina il trasferimento di dati personali tra UE ed USA
Pubblicato il 27/07/20 00:00 [Doc.7914]
di Redazione IL CASO.it



Segnalazione dell'Avv. Andrea Antognini

Corte Giustizia UE, 16 luglio 2020, Sezione grande.

1) L'articolo 2, paragrafi 1 e 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che rientra nell'ambito di applicazione di tale regolamento un trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un altro operatore economico stabilito in un paese terzo, nonostante il fatto che, durante o in seguito a tale trasferimento, i suddetti dati possano essere sottoposti a trattamento da parte delle autorità del paese terzo considerato a fini di sicurezza pubblica, di difesa e sicurezza dello Stato.
2) L'articolo 46, paragrafo 1, e l'articolo 46, paragrafo 2, lettera c), del regolamento 2016/679 devono essere interpretati nel senso che le garanzie adeguate, i diritti azionabili e i mezzi di ricorso effettivi richiesti da tali disposizioni devono garantire che i diritti delle persone i cui dati personali sono trasferiti verso un paese terzo sul fondamento di clausole tipo di protezione dei dati godano di un livello di protezione sostanzialmente equivalente a quello garantito all'interno dell'Unione da tale regolamento, letto alla luce della Carta dei diritti fondamentali dell'Unione europea. A tal fine, la valutazione del livello di protezione garantito nel contesto di un trasferimento siffatto deve, in particolare, prendere in considerazione tanto le clausole contrattuali convenute tra il titolare del trattamento o il responsabile del trattamento stabiliti nell'Unione e il destinatario del trasferimento stabilito nel paese terzo interessato quanto, per quel che riguarda un eventuale accesso delle autorità pubbliche di tale paese terzo ai dati personali così trasferiti, gli elementi rilevanti del sistema giuridico di quest'ultimo, in particolare quelli enunciati all'articolo 45, paragrafo 2, di detto regolamento.
3) L'articolo 58, paragrafo 2, lettere f) e j), del regolamento 2016/679 deve essere interpretato nel senso che, a meno che esista una decisione di adeguatezza validamente adottata dalla Commissione europea, l'autorità di controllo competente è tenuta a sospendere o a vietare un trasferimento di dati verso un paese terzo effettuato sulla base di clausole tipo di protezione dei dati adottate dalla Commissione, qualora detta autorità di controllo ritenga, alla luce del complesso delle circostanze proprie di tale trasferimento, che le suddette clausole non siano o non possano essere rispettate in tale paese terzo e che la protezione dei dati trasferiti richiesta dal diritto dell'Unione, segnatamente dagli articoli 45 e 46 di tale regolamento e dalla Carta dei diritti fondamentali, non possa essere garantita con altri mezzi, ove il titolare del trattamento o il responsabile del trattamento stabiliti nell'Unione non abbiano essi stessi sospeso il trasferimento o messo fine a quest'ultimo.
4) Dall'esame della decisione 2010/87/UE della Commissione, del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, come modificata dalla decisione di esecuzione (UE) 2016/2297 della Commissione, del 16 dicembre 2016, alla luce degli articoli 7, 8 e 47 della Carta dei diritti fondamentali non è emerso alcun elemento idoneo ad inficiarne la validità.
5) La decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy, è invalida.




Edizione provvisoria
SENTENZA DELLA CORTE (Grande Sezione)

16 luglio 2020 (*)

Nella causa C 311/18,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell'articolo 267 TFUE, dalla High Court (Alta Corte, Irlanda), con decisione del 4 maggio 2018, pervenuta in cancelleria il 9 maggio 2018, nel procedimento

Data Protection Commissioner

contro

Facebook Ireland Ltd,

Maximillian Schrems,

con l'intervento di:

The United States of America,

Electronic Privacy Information Centre,

BSA Business Software Alliance Inc.,

Digitaleurope,

LA CORTE (Grande Sezione),

composta da K. Lenaerts, presidente, R. Silva de Lapuerta, vicepresidente, A. Arabadjiev, A. Prechal, M. Vilaras, M. Safjan, S. Rodin, P.G. Xuereb, L.S. Rossi e I. Jarukaitis, presidenti di sezione, M. Ileši?, T. von Danwitz (relatore) e D. Šváby, giudici,
avvocato generale: H. Saugmandsgaard Øe
cancelliere: C. Strömholm, amministratrice
vista la fase scritta del procedimento e in seguito all'udienza del 9 luglio 2019,
considerate le osservazioni presentate:
- per il Data Protection Commissioner, da D. Young, solicitor, B. Murray e M. Collins, SC, nonché C. Donnelly, BL;
- per Facebook Ireland Ltd, da P. Gallagher e N. Hyland, SC, A. Mulligan e F. Kieran, BL, nonché P. Nolan, C. Monaghan, C. O'Neill e R. Woulfe, solicitors;
- per M. Schrems, da H. Hofmann, Rechtsanwalt, E. McCullough, J. Doherty e S. O'Sullivan, SC, nonché G. Rudden, solicitor;
- per The United States of America, da E. Barrington, SC, S. Kingston, BL, nonché S. Barton e B. Walsh, solicitors;
- per l'Electronic Privacy Information Centre, da S. Lucey, solicitor, G. Gilmore e A. Butler, BL, nonché C. O'Dwyer, SC;
- per BSA Business Software Alliance Inc., da B. Van Vooren e K. Van Quathem, advocaten;
- per Digitaleurope, da N. Cahill, barrister, J. Cahir, solicitor, e M. Cush, SC;
- per l'Irlanda, da A. Joyce e M. Browne, in qualità di agenti, assistiti da D. Fennelly, BL;
- per il governo belga, da J.-C. Halleux e P. Cottin, in qualità di agenti;
- per il governo ceco, da M. Smolek, J. Vlá?il, O. Serdula e A. Kasalická, in qualità di agenti;
- per il governo tedesco, da J. Möller, D. Klebs e T. Henze, in qualità di agenti;
- per il governo francese, da A.-L. Desjonquères, in qualità d'agente;
- per il governo dei Paesi Bassi, da C.S. Schillemans, K. Bulterman e M. Noort, in qualità di agenti;
- per il governo austriaco, da J. Schmoll e G. Kunnert, in qualità di agenti;
- per il governo polacco, da B. Majczyna, in qualità di agente;
- per il governo portoghese, da L. Inez Fernandes, A. Pimenta e C. Vieira Guerra, in qualità di agenti;
- per il governo del Regno Unito, da S. Brandon, in qualità di agente, assistito da J. Holmes, QC, e C. Knight, barrister;
- per il Parlamento europeo, da M.J. Martínez Iglesias e A. Caiola, in qualità di agenti;
- per la Commissione europea, da D. Nardi, H. Krämer e H. Kranenborg, in qualità di agenti;
- per il Comitato europeo per la protezione dei dati (EDPB), da A. Jelinek e K. Behn, in qualità di agenti,
sentite le conclusioni dell'avvocato generale, presentate all'udienza del 19 dicembre 2019,
ha pronunciato la seguente

Sentenza

1 La domanda di pronuncia pregiudiziale in sostanza, verte:
- sull'interpretazione dell'articolo 3, paragrafo 2, primo trattino, degli articoli 25 e 26, nonché dell'articolo 28, paragrafo 3, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31), letti alla luce dell'articolo 4, paragrafo 2, TUE e degli articoli 7, 8 e 47 della Carta dei diritti fondamentali dell'Unione europea (in prosieguo: la «Carta»),
- sull'interpretazione e la validità della decisione 2010/87/UE della Commissione, del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46 (GU 2010, L 39, pag. 5), come modificata dalla decisione di esecuzione (UE) 2016/2297 della Commissione, del 16 dicembre 2016 (GU 2016, L 344, pag. 100) (in prosieguo: «decisione CPT»), nonché
- sull'interpretazione e la validità della decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46, sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (GU 2016, L 207, pag. 1; in prosieguo: la «decisione "scudo per la privacy"»).
2 Tale domanda è stata presentata nell'ambito di una controversia che vede opposti il Data Protection Commissioner (Commissario per la protezione dei dati; in prosieguo: il «Commissario») a Facebook Ireland Ltd e al sig. Maximillian Schrems relativamente ad una denuncia presentata da quest'ultimo riguardo al trasferimento di dati personali da parte di Facebook Ireland Ltd a Facebook Inc. negli Stati Uniti.

Contesto normativo

Direttiva 95/46

3 L'articolo 3 della direttiva 95/46, intitolato «Campo d'applicazione», al suo paragrafo 2 enunciava quanto segue:
«Le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali[:]
- effettuati per l'esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull'Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale;
(...)».
4 L'articolo 25 di tale direttiva così disponeva:
«1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali (...) può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.
2. L'adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; (...)
(...)
6 La Commissione può constatare, secondo la procedura di cui all'articolo 31, paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, in particolare di quelli assunti in seguito ai negoziati di cui al paragrafo 5, ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona.
Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione».
5 L'articolo 26, paragrafi 2 e 4, di detta direttiva prevedeva quanto segue:
«2. Salvo il disposto del paragrafo 1, uno Stato membro può autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato ai sensi dell'articolo 25, paragrafo 2, qualora il responsabile del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l'esercizio dei diritti connessi; tali garanzie possono segnatamente risultare da clausole contrattuali appropriate.
(...)
4. Qualora la Commissione decida, secondo la procedura di cui all'articolo 31, paragrafo 2, che alcune clausole contrattuali tipo offrono le garanzie sufficienti di cui al paragrafo 2, gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione».
6 Ai sensi dell'articolo 28, paragrafo 3, della medesima direttiva:
«Ogni autorità di controllo dispone in particolare:
- di poteri investigativi, come il diritto di accesso ai dati oggetto di trattamento e di raccolta di qualsiasi informazione necessaria all'esercizio della sua funzione di controllo;
- di poteri effettivi d'intervento, come quello di formulare pareri prima dell'avvio di trattamenti, conformemente all'articolo 20, e di dar loro adeguata pubblicità o quello di ordinare il congelamento, la cancellazione o la distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un trattamento, ovvero quello di rivolgere un avvertimento o un monito al responsabile del trattamento o quello di adire i Parlamenti o altre istituzioni politiche nazionali;
- del potere di promuovere azioni giudiziarie in caso di violazione delle disposizioni nazionali di attuazione della presente direttiva ovvero di adire per dette violazioni le autorità giudiziarie
(…)».

RGPD

7 La direttiva 95/46 è stata abrogata e sostituita dal regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46 (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo il «RGPD»).
8 I considerando 6, 10, 101, 103, 104, da 107 a 109, 114, 116 e 141 di detto regolamento così recitano:
«(6) La rapidità dell'evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo. La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività. Sempre più spesso, le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni personali che li riguardano. La tecnologia ha trasformato l'economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all'interno dell'Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali.
(...)
(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all'interno dell'Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un'applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l'Unione. Per quanto riguarda il trattamento dei dati personali per l'adempimento di un obbligo legale, per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l'applicazione delle norme del presente regolamento. In combinato disposto con la legislazione generale e orizzontale in materia di protezione dei dati che attua la direttiva 95/46/CE gli Stati membri dispongono di varie leggi settoriali in settori che richiedono disposizioni più specifiche. Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali («dati sensibili»). In tal senso, il presente regolamento non esclude che il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito.
(...)
(101) I flussi di dati personali verso e da paesi al di fuori dell'Unione e organizzazioni internazionali sono necessari per l'espansione del commercio internazionale e della cooperazione internazionale. L'aumento di tali flussi ha posto nuove sfide e problemi riguardanti la protezione dei dati personali. È opportuno però che, quando i dati personali sono trasferiti dall'Unione a titolari del trattamento e responsabili del trattamento o altri destinatari in paesi terzi o a organizzazioni internazionali, il livello di tutela delle persone fisiche assicurato nell'Unione dal presente regolamento non sia compromesso, anche nei casi di trasferimenti successivi dei dati personali dal paese terzo o dall'organizzazione internazionale verso titolari del trattamento e responsabili del trattamento nello stesso o in un altro paese terzo o presso un'altra organizzazione internazionale. In ogni caso, i trasferimenti verso paesi terzi e organizzazioni internazionali potrebbero essere effettuati soltanto nel pieno rispetto del presente regolamento. Il trasferimento potrebbe aver luogo soltanto se, fatte salve le altre disposizioni del presente regolamento, il titolare del trattamento o il responsabile del trattamento rispetta le condizioni stabilite dalle disposizioni del presente regolamento in relazione al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali.
(...)
(103) La Commissione può decidere, con effetto nell'intera Unione, che un paese terzo, un territorio o un settore specifico all'interno di un paese terzo, o un'organizzazione internazionale offrono un livello adeguato di protezione dei dati, garantendo in tal modo la certezza del diritto e l'uniformità in tutta l'Unione nei confronti del paese terzo o dell'organizzazione internazionale che si ritiene offra tale livello di protezione. In tali casi, i trasferimenti di dati personali verso tale paese terzo od organizzazione internazionale possono avere luogo senza ulteriori autorizzazioni. La Commissione può inoltre decidere, dopo aver fornito una dichiarazione completa che illustra le motivazioni al paese terzo o all'organizzazione internazionale, di revocare una tale decisione.
(104) In linea con i valori fondamentali su cui è fondata l'Unione, in particolare la tutela dei diritti dell'uomo, è opportuno che la Commissione, nella sua valutazione del paese terzo, o di un territorio o di un settore specifico all'interno di un paese terzo, tenga conto del modo in cui tale paese rispetta lo stato di diritto, l'accesso alla giustizia e le norme e gli standard internazionali in materia di diritti dell'uomo, nonché la legislazione generale e settoriale riguardante segnatamente la sicurezza pubblica, la difesa e la sicurezza nazionale, come pure l'ordine pubblico e il diritto penale. L'adozione di una decisione di adeguatezza nei confronti di un territorio o di un settore specifico all'interno di un paese terzo dovrebbe prendere in considerazione criteri chiari e obiettivi come specifiche attività di trattamento e l'ambito di applicazione delle norme giuridiche e degli atti legislativi applicabili in vigore nel paese terzo. Il paese terzo dovrebbe offrire garanzie di un adeguato livello di protezione sostanzialmente equivalente a quello assicurato all'interno dell'Unione, segnatamente quando i dati personali sono trattati in uno o più settori specifici. In particolare, il paese terzo dovrebbe assicurare un effettivo controllo indipendente della protezione dei dati e dovrebbe prevedere meccanismi di cooperazione con autorità di protezione dei dati degli Stati membri e agli interessati dovrebbero essere riconosciuti diritti effettivi e azionabili e un mezzo di ricorso effettivo in sede amministrativa e giudiziale.
(...)
(107) La Commissione può riconoscere che un paese terzo, un territorio o un settore specifico all'interno di un paese terzo, o un'organizzazione internazionale non garantiscono più un livello adeguato di protezione dei dati. Di conseguenza il trasferimento di dati personali verso tale paese terzo od organizzazione internazionale dovrebbe essere vietato, a meno che non siano soddisfatti i requisiti di cui al presente regolamento relativamente ai trasferimenti sottoposti a garanzie adeguate, comprese norme vincolanti d'impresa, e a deroghe per situazioni particolari. In tal caso è opportuno prevedere consultazioni tra la Commissione e detti paesi terzi o organizzazioni internazionali. La Commissione dovrebbe informare tempestivamente il paese terzo o l'organizzazione internazionale dei motivi e avviare consultazioni con questi al fine di risolvere la situazione.
(108) In mancanza di una decisione di adeguatezza, il titolare del trattamento o il responsabile del trattamento dovrebbe provvedere a compensare la carenza di protezione dei dati in un paese terzo con adeguate garanzie a tutela dell'interessato. Tali adeguate garanzie possono consistere nell'applicazione di norme vincolanti d'impresa, clausole tipo di protezione dei dati adottate dalla Commissione, clausole tipo di protezione dei dati adottate da un'autorità di controllo o clausole contrattuali autorizzate da un'autorità di controllo. Tali garanzie dovrebbero assicurare un rispetto dei requisiti in materia di protezione dei dati e dei diritti degli interessati adeguato ai trattamenti all'interno dell'Unione, compresa la disponibilità di diritti azionabili degli interessati e di mezzi di ricorso effettivi, fra cui il ricorso effettivo in sede amministrativa o giudiziale e la richiesta di risarcimento, nell'Unione o in un paese terzo. Esse dovrebbero riguardare, in particolare, la conformità rispetto ai principi generali in materia di trattamento dei dati personali e ai principi di protezione dei dati fin dalla progettazione e di protezione dei dati di default. (...)
(109) La possibilità che il titolare del trattamento o il responsabile del trattamento utilizzi clausole tipo di protezione dei dati adottate dalla Commissione o da un'autorità di controllo non dovrebbe precludere ai titolari del trattamento o ai responsabili del trattamento la possibilità di includere tali clausole tipo in un contratto più ampio, anche in un contratto tra il responsabile del trattamento e un altro responsabile del trattamento, né di aggiungere altre clausole o garanzie supplementari, purché non contraddicano, direttamente o indirettamente, le clausole contrattuali tipo adottate dalla Commissione o da un'autorità di controllo o ledano i diritti o le libertà fondamentali degli interessati. I titolari del trattamento e i responsabili del trattamento dovrebbero essere incoraggiati a fornire garanzie supplementari attraverso impegni contrattuali che integrino le clausole tipo di protezione.
(...)
(114) In ogni caso, se la Commissione non ha adottato alcuna decisione circa il livello adeguato di protezione dei dati di un paese terzo, il titolare del trattamento o il responsabile del trattamento dovrebbe ricorrere a soluzioni che diano all'interessato diritti effettivi e azionabili in relazione al trattamento dei suoi dati personali nell'Unione, dopo il trasferimento, così da continuare a beneficiare dei diritti fondamentali e delle garanzie.
(...)
(116) Con i trasferimenti transfrontalieri di dati personali al di fuori dell'Unione potrebbe aumentare il rischio che la persona fisica non possa esercitare il proprio diritto alla protezione dei dati, in particolare per tutelarsi da usi o comunicazioni illeciti di tali informazioni. Allo stesso tempo, le autorità di controllo possono concludere di non essere in grado di dar corso ai reclami o svolgere indagini relative ad attività condotte oltre frontiera. I loro sforzi di collaborazione nel contesto transfrontaliero possono anche essere ostacolati dall'insufficienza di poteri per prevenire e correggere, da regimi giuridici incoerenti e da difficoltà pratiche quali la limitatezza delle risorse disponibili. (...)
(...)
(141) Ciascun interessato dovrebbe avere il diritto di proporre reclamo a un'unica autorità di controllo, in particolare nello Stato membro in cui risiede abitualmente, e il diritto a un ricorso giurisdizionale effettivo a norma dell'articolo 47 della Carta qualora ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento o se l'autorità di controllo non dà seguito a un reclamo, lo respinge in tutto o in parte o lo archivia o non agisce quando è necessario intervenire per proteggere i diritti dell'interessato. (...)».
9 L'articolo 2, paragrafi 1 e 2, di tale regolamento così recita:
«1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
2. Il presente regolamento non si applica ai trattamenti di dati personali:
a) effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione;
b) effettuati dagli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione del titolo V, capo 2, TUE;
c) effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico;
d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse».
10 L'articolo 4 del citato regolamento stabilisce quanto segue:
«Ai fini del presente regolamento s'intende per:
(...)
2) "trattamento": qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
(...)
7) "titolare del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;
8) "responsabile del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
9) "destinatario": la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;
(...)».
11 L'articolo 23 del medesimo regolamento è così formulato:
«1. Il diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all'articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:
a) la sicurezza nazionale;
b) la difesa;
c) la sicurezza pubblica;
d) la prevenzione, l'indagine, l'accertamento e il perseguimento di reati o l'esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica;
(...)
2) In particolare qualsiasi misura legislativa di cui al paragrafo 1 contiene disposizioni specifiche riguardanti almeno, se del caso:
a) le finalità del trattamento o le categorie di trattamento;
b) le categorie di dati personali;
c) la portata delle limitazioni introdotte;
d) le garanzie per prevenire abusi o l'accesso o il trasferimento illeciti;
e) l'indicazione precisa del titolare del trattamento o delle categorie di titolari;
f) i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell'ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento;
g) i rischi per i diritti e le libertà degli interessati; e
h) il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa».
12 Il capo V del RGPD, rubricato «Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali», include gli articoli da 44 a 50 di tale regolamento. L'articolo 44 di tale regolamento, intitolato «Principio generale per il trasferimento», è così formulato:
«Qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un'organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un'organizzazione internazionale verso un altro paese terzo o un'altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento. Tutte le disposizioni del presente capo sono applicate al fine di assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato».
13 L'articolo 45 di tale regolamento, intitolato «Trasferimento sulla base di una decisione di adeguatezza», ai suoi paragrafi da 1 a 3, così prevede:
«1. Il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all'interno del paese terzo, o l'organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche.
2. Nel valutare l'adeguatezza del livello di protezione, la Commissione prende in considerazione in particolare i seguenti elementi:
a) lo [S]tato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la pertinente legislazione generale e settoriale (anche in materia di sicurezza pubblica, difesa, sicurezza nazionale, diritto penale e accesso delle autorità pubbliche ai dati personali), così come l'attuazione di tale legislazione, le norme in materia di protezione dei dati, le norme professionali e le misure di sicurezza, comprese le norme per il trasferimento successivo dei dati personali verso un altro paese terzo o un'altra organizzazione internazionale osservate nel paese o dall'organizzazione internazionale in questione, la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento;
b) l'esistenza e l'effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o cui è soggetta un'organizzazione internazionale, con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati, comprensiva di adeguati poteri di esecuzione, per assistere e fornire consulenza agli interessati in merito all'esercizio dei loro diritti e cooperare con le autorità di controllo degli Stati membri; e
c) gli impegni internazionali assunti dal paese terzo o dall'organizzazione internazionale in questione o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti come pure dalla loro partecipazione a sistemi multilaterali o regionali, in particolare in relazione alla protezione dei dati personali.
3. La Commissione, previa valutazione dell'adeguatezza del livello di protezione, può decidere, mediante atti di esecuzione, che un paese terzo, un territorio o uno o più settori specifici all'interno di un paese terzo, o un'organizzazione internazionale garantiscono un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo. L'atto di esecuzione prevede un meccanismo di riesame periodico, almeno ogni quattro anni, che tenga conto di tutti gli sviluppi pertinenti nel paese terzo o nell'organizzazione internazionale. L'atto di esecuzione specifica il proprio ambito di applicazione geografico e settoriale e, ove applicabile, identifica la o le autorità di controllo di cui al paragrafo 2, lettera b), del presente articolo. L'atto di esecuzione è adottato secondo la procedura d'esame di cui all'articolo 93, paragrafo 2».
14 L'articolo 46 del medesimo regolamento, intitolato «Trasferimento soggetto a garanzie adeguate», ai suoi paragrafi da 1 a 3, è formulato nel modo seguente:
«1. In mancanza di una decisione ai sensi dell'articolo 45, paragrafo 3, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un'organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.
2. Possono costituire garanzie adeguate di cui al paragrafo 1 senza necessitare di autorizzazioni specifiche da parte di un'autorità di controllo:
a) uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici;
b) le norme vincolanti d'impresa in conformità dell'articolo 47;
c) le clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d'esame di cui all'articolo 93, paragrafo 2;
d) le clausole tipo di protezione dei dati adottate da un'autorità di controllo e approvate dalla Commissione secondo la procedura d'esame di cui all'articolo 93, paragrafo 2;
e) un codice di condotta approvato a norma dell'articolo 40, unitamente all'impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati; o
f) un meccanismo di certificazione approvato a norma dell'articolo 42, unitamente all'impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati.
3. Fatta salva l'autorizzazione dell'autorità di controllo competente, possono altresì costituire in particolare garanzie adeguate di cui al paragrafo 1:
a) le clausole contrattuali tra il titolare del trattamento o il responsabile del trattamento e il titolare del trattamento, il responsabile del trattamento o il destinatario dei dati personali nel paese terzo o nell'organizzazione internazionale; o
b) le disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati».
15 L'articolo 49 del medesimo regolamento, intitolato «Deroghe in specifiche situazioni», stabilisce quanto segue:
«1. In mancanza di una decisione di adeguatezza ai sensi dell'articolo 45, paragrafo 3, o di garanzie adeguate ai sensi dell'articolo 46, comprese le norme vincolanti d'impresa, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale soltanto se si verifica una delle seguenti condizioni:
a) l'interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l'interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
b) il trasferimento sia necessario all'esecuzione di un contratto concluso tra l'interessato e il titolare del trattamento ovvero all'esecuzione di misure precontrattuali adottate su istanza dell'interessato;
c) il trasferimento sia necessario per la conclusione o l'esecuzione di un contratto stipulato tra il titolare del trattamento e un'altra persona fisica o giuridica a favore dell'interessato;
d) il trasferimento sia necessario per importanti motivi di interesse pubblico;
e) il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
f) il trasferimento sia necessario per tutelare gli interessi vitali dell'interessato o di altre persone, qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;
g) il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell'Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell'Unione o degli Stati membri.
Se non è possibile basare il trasferimento su una disposizione dell'articolo 45 o 46, comprese le disposizioni sulle norme vincolanti d'impresa, e nessuna delle deroghe in specifiche situazioni a norma del primo comma del presente paragrafo è applicabile, il trasferimento verso un paese terzo o un'organizzazione internazionale sia ammesso soltanto se non è ripetitivo, riguarda un numero limitato di interessati, è necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento, su cui non prevalgano gli interessi o i diritti e le libertà dell'interessato, e qualora il titolare e del trattamento abbia valutato tutte le circostanze relative al trasferimento e sulla base di tale valutazione abbia fornito garanzie adeguate relativamente alla protezione dei dati personali. Il titolare del trattamento informa del trasferimento l'autorità di controllo. In aggiunta alla fornitura di informazioni di cui agli articoli 13 e 14, il titolare del trattamento informa l'interessato del trasferimento e degli interessi legittimi cogenti perseguiti.
2. Il trasferimento di cui al paragrafo 1, primo comma, lettera g), non può riguardare la totalità dei dati personali o intere categorie di dati personali contenute nel registro. Se il registro è destinato a essere consultato da persone aventi un legittimo interesse, il trasferimento è ammesso soltanto su richiesta di tali persone o qualora tali persone ne siano i destinatari.
3. Il primo comma, lettere a), b) e c), e il secondo comma del paragrafo 1 non si applicano alle attività svolte dalle autorità pubbliche nell'esercizio dei pubblici poteri.
4. L'interesse pubblico di cui al paragrafo 1, primo comma, lettera d), è riconosciuto dal diritto dell'Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
5. In mancanza di una decisione di adeguatezza, il diritto dell'Unione o degli Stati membri può, per importanti motivi di interesse pubblico, fissare espressamente limiti al trasferimento di categorie specifiche di dati verso un paese terzo o un'organizzazione internazionale. Gli Stati membri notificano tali disposizioni alla Commissione.
6. Il titolare del trattamento o il responsabile del trattamento attesta nel registro di cui all'articolo 30 la valutazione e le garanzie adeguate di cui al paragrafo 1, secondo comma, del presente articolo».
16 Ai sensi dell'articolo 51, paragrafo 1, del RGPD:
«Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l'applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all'interno dell'Unione (l'"autorità di controllo")».
17 Ai termini dell'articolo 55, paragrafo 1, di tale regolamento, «[o]gni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro».
18 L'articolo 57, paragrafo 1, del suddetto regolamento prevede quanto segue:
«Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo:
a) sorveglia e assicura l'applicazione del presente regolamento;
(...)
f) tratta i reclami proposti da un interessato, o da un organismo, un'organizzazione o un'associazione ai sensi dell'articolo 80, e svolge le indagini opportune sull'oggetto del reclamo e informa il reclamante dello stato e dell'esito delle indagini entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un'altra autorità di controllo;
(...)».
19 Ai sensi dell'articolo 58, paragrafi 2 e 4, dello stesso regolamento:
«2. Ogni autorità di controllo ha tutti i poteri correttivi seguenti:
(...)
f) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;
(…)
j) ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un'organizzazione internazionale.
(...)
4. L'esercizio da parte di un'autorità di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie adeguate, inclusi il ricorso giurisdizionale effettivo e il giusto processo, previste dal diritto dell'Unione e degli Stati membri conformemente alla Carta».
20 L'articolo 64, paragrafo 2, del RGPD così dispone:
«Qualsiasi autorità di controllo, il presidente del [comitato europeo per la protezione dei dati (EDPB)] o la Commissione può richiedere che le questioni di applicazione generale o che producono effetti in più di uno Stato membro siano esaminate dal comitato al fine di ottenere un parere, in particolare se un'autorità di controllo competente non si conforma agli obblighi relativi all'assistenza reciproca ai sensi dell'articolo 61 o alle operazioni congiunte ai sensi dell'articolo 62».
21 Ai sensi dell'articolo 65, paragrafo 1, di detto regolamento:
«Al fine di assicurare l'applicazione corretta e coerente del presente regolamento nei singoli casi, il comitato adotta una decisione vincolante nei seguenti casi:
(...)
c) se un'autorità di controllo competente non richiede il parere del comitato nei casi di cui all'articolo 64, paragrafo 1, o non si conforma al parere del comitato emesso a norma dell'articolo 64. In tal caso qualsiasi autorità di controllo interessata o la Commissione può comunicare la questione al comitato».
22 L'articolo 77 di tale regolamento, intitolato «Diritto di proporre reclamo all'autorità di controllo», è così formulato:
«1. Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un'autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.
2. L'autorità di controllo a cui è stato proposto il reclamo informa il reclamante dello stato o dell'esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell'articolo 78».
23 L'articolo 78 dello stesso regolamento, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti dell'autorità di controllo», ai suoi paragrafi 1 e 2, così prevede:
«1. Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell'autorità di controllo che la riguarda.
2. Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ciascun interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora l'autorità di controllo che sia competente ai sensi degli articoli 55 e 56 non tratti un reclamo o non lo informi entro tre mesi dello stato o dell'esito del reclamo proposto ai sensi dell'articolo 77».
24 L'articolo 94 del RGPD è così formulato:
«1. La direttiva [95/46] è abrogata a decorrere dal 25 maggio 2018.
2. I riferimenti alla direttiva abrogata si intendono fatti al presente regolamento. I riferimenti al gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito dall'articolo 29 della direttiva 95/46/CE si intendono fatti al comitato europeo per la protezione dei dati istituito dal presente regolamento».
25 A tenore dell'articolo 99 di tale regolamento:
«1. Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
2. Esso si applica a decorrere da 25 maggio 2018».

Decisione CPT

26 Il considerando 11 della decisione CPT così recita:
«Le autorità di controllo degli Stati membri svolgono un ruolo fondamentale in tale ambito contrattuale garantendo che i dati personali siano adeguatamente tutelati in seguito al trasferimento. Nei casi eccezionali in cui gli esportatori si rifiutino o non siano in grado di impartire le istruzioni necessarie agli importatori, e le persone cui si riferiscono i dati siano esposte ad un imminente rischio di gravi danni, le clausole tipo devono consentire alle autorità di controllo di vigilare sugli importatori e sui subincaricati e di adottare, se del caso, decisioni vincolanti nei loro confronti. Le autorità di controllo devono avere la facoltà di vietare o sospendere i trasferimenti di dati effettuati in base alle clausole contrattuali tipo nei casi eccezionali in cui il trasferimento su base contrattuale rischi di pregiudicare le garanzie e gli obblighi destinati a garantire protezione adeguata agli interessati».
27 L'articolo 1 di detta decisione così recita:
«Le clausole contrattuali tipo riportate in allegato costituiscono garanzie sufficienti per la tutela della vita privata e dei diritti e della libertà fondamentali delle persone, nonché per l'esercizio dei diritti connessi ai sensi dell'articolo 26, paragrafo 2, della direttiva 95/46/CE».
28 Ai termini dell'articolo 2, secondo comma della suddetta decisione, quest'ultima «si applica al trasferimento dei dati personali effettuato da responsabili del trattamento stabiliti nell'Unione europea a destinatari stabiliti al di fuori dell'Unione europea che agiscano esclusivamente in veste di incaricati del trattamento».
29 L'articolo 3 della stessa decisione così dispone:
«Ai fini della presente decisione si intende per:
(...)
c) "esportatore" il responsabile del trattamento che trasferisce i dati personali;
d) "importatore" l'incaricato del trattamento stabilito in un paese terzo che s'impegni a ricevere dall'esportatore dati personali al fine di trattarli per conto e secondo le istruzioni dell'esportatore stesso, nonché a norma della presente decisione, e che non sia assoggettato dal paese terzo a un sistema che garantisca una protezione adeguata ai sensi dell'articolo 25, paragrafo 1, della direttiva [95/46];
(...)
f) "normativa sulla protezione dei dati" la normativa che protegge i diritti e le libertà fondamentali del singolo, in particolare il diritto al rispetto della vita privata con riguardo al trattamento di dati personali, applicabile ai responsabili del trattamento nello Stato membro in cui è stabilito l'esportatore;
(...)».
30 Nella sua versione iniziale, precedente all'entrata in vigore della decisione di esecuzione 2016/2297, l'articolo 4 della decisione 2010/87 prevedeva quanto segue:
«1. Fatto salvo il potere di provvedere all'osservanza delle disposizioni nazionali adottate in attuazione dei capi II, III, V e VI della direttiva [95/46], le autorità competenti degli Stati membri possono avvalersi dei poteri loro attribuiti per vietare o sospendere i flussi di dati verso paesi terzi allo scopo di proteggere le persone con riguardo al trattamento dei dati personali, qualora:
a) sia accertato che, in base alla legge ad esso applicabile, l'importatore o il subincaricato è tenuto ad applicare deroghe alla normativa sulla protezione dei dati che eccedono le restrizioni ritenute necessarie in una società democratica ai sensi dell'articolo 13 della direttiva [95/46] e pregiudicano significativamente le garanzie previste dalla normativa sulla protezione dei dati e dalle clausole contrattuali tipo;
b) un'autorità competente abbia accertato che l'importatore o il subincaricato non ha rispettato le clausole contrattuali tipo riportate in allegato; oppure
c) sia probabile che le clausole contrattuali tipo in allegato non vengano rispettate e che la prosecuzione del trasferimento determini un imminente rischio di gravi danni per le persone cui i dati si riferiscono.
2. Il divieto o la sospensione ai sensi del paragrafo 1 sono revocati non appena ne vengano meno le ragioni.
3. Quando prende i provvedimenti di cui ai paragrafi 1 e 2, lo Stato membro informa senza indugio la Commissione; questa trasmette l'informazione agli altri Stati membri».
31 Il considerando 5 della decisione di esecuzione 2016/2297, adottata in seguito alla pronuncia della sentenza del 6 ottobre 2015, Schrems (C 362/14, EU:C:2015:650), è così formulato:
«Mutatis mutandis, una decisione della Commissione adottata ai sensi dell'articolo 26, paragrafo 4, della direttiva 95/46/CE è vincolante per tutti gli organi degli Stati membri destinatari, incluse le loro autorità di controllo indipendenti, nella misura in cui ha l'effetto di riconoscere che i trasferimenti effettuati sulla base delle clausole contrattuali tipo in essa contenute offrono garanzie sufficienti come richiesto dall'articolo 26, paragrafo 2, della direttiva. Questo non impedisce ad un'autorità di controllo nazionale di esercitare i propri poteri di controllo dei flussi di dati, compreso il potere di sospendere o vietare il trasferimento di dati personali, qualora stabilisca che esso avviene in violazione della normativa europea o nazionale sulla protezione dei dati, come, ad esempio, quando l'importatore dei dati non rispetta le clausole contrattuali tipo».
32 Nella sua versione attuale, risultante dalla decisione di esecuzione 2016/2297, l'articolo 4 della decisione CPT così dispone:
«Quando le autorità competenti di uno Stato membro esercitano i poteri ad esse conferiti dall'articolo 28, paragrafo 3, della direttiva [95/46] per sospendere o vietare a titolo definitivo i flussi di dati verso paesi terzi ai fini della tutela delle persone per quanto riguarda il trattamento dei dati personali, lo Stato membro interessato informa immediatamente la Commissione, che a sua volta inoltra l'informazione agli altri Stati membri».
33 L'allegato della decisione CPT, intitolato «Clausole contrattuali tipo ("incaricati del trattamento")», contiene dodici clausole tipo. La clausola 3 di tale allegato, a sua volta intitolata «Clausola del terzo beneficiario», prevede quanto segue:
«1. L'interessato può far valere, nei confronti dell'esportatore, la presente clausola, la clausola 4, lettere da b) a i), la clausola 5, lettere da a) ad e) e da g) a j), la clausola 6, paragrafi 1 e 2, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 in qualità di terzo beneficiario.
2. L'interessato può far valere, nei confronti dell'importatore, la presente clausola, la clausola 5, lettere da a) ad e) e g), la clausola 6, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 qualora l'esportatore sia scomparso di fatto o abbia giuridicamente cessato di esistere, a meno che tutti gli obblighi dell'esportatore siano stati trasferiti, per contratto o per legge, all'eventuale successore che di conseguenza assume i diritti e gli obblighi dell'esportatore, nel qual caso l'interessato può far valere le suddette clausole nei confronti del successore.
(...)».
34 La clausola 4 di tale allegato, dal titolo «Obblighi dell'esportatore», è così formulata:
«L'esportatore dichiara e garantisce quanto segue:
a) che il trattamento, compreso il trasferimento, dei dati personali, è e continua ad essere effettuato in conformità di tutte le pertinenti disposizioni della normativa sulla protezione dei dati (e viene comunicato, se del caso, alle competenti autorità dello Stato membro in cui è stabilito l'esportatore) nel pieno rispetto delle leggi vigenti in quello Stato;
b) che ha prescritto all'importatore, e continuerà a farlo per tutta la durata delle operazioni di trattamento, di trattare i dati personali trasferiti soltanto per suo conto e conformemente alla normativa sulla protezione dei dati e alle presenti clausole;
(...)
f) che, qualora il trasferimento riguardi categorie particolari di dati, gli interessati sono stati o saranno informati prima del trasferimento, o immediatamente dopo, che i dati che li riguardano potrebbero essere trasmessi a un paese terzo che non garantisce una protezione adeguata ai sensi della direttiva [95/46];
g) di trasmettere all'autorità di controllo l'eventuale comunicazione presentata dall'importatore o dal subincaricato ai sensi della clausola 5, lettera b), e della clausola 8, paragrafo 3, qualora decida di proseguire il trasferimento o revocare la sospensione;
(...)».
35 La clausola 5 di tale allegato, intitolata «Obblighi dell'importatore (...)», prevede quanto segue:
«L'importatore dichiara e garantisce quanto segue:
a) di trattare i dati personali esclusivamente per conto e secondo le istruzioni dell'esportatore, nonché a norma delle presenti clausole, e di impegnarsi a informare prontamente l'esportatore qualora non possa per qualsiasi ragione ottemperare a tale disposizione, nel qual caso l'esportatore ha facoltà di sospendere il trasferimento e/o risolvere il contratto;
b) di non avere motivo di ritenere che la normativa ad esso applicabile impedisca di seguire le istruzioni dell'esportatore o di adempiere agli obblighi contrattuali, e di comunicare all'esportatore, non appena ne abbia conoscenza, qualsiasi modificazione di tale normativa che possa pregiudicare le garanzie e gli obblighi previsti dalle presenti clausole, nel qual caso l'esportatore ha facoltà di sospendere il trasferimento e/o di risolvere il contratto;
(...)
d) che comunicherà prontamente all'esportatore:
i) qualsiasi richiesta giuridicamente vincolante presentata da autorità giudiziarie o di polizia ai fini della comunicazione di dati personali, salvo che la comunicazione sia vietata da norme specifiche, ad esempio da norme di diritto penale miranti a tutelare il segreto delle indagini;
ii) qualsiasi accesso accidentale o non autorizzato; e
iii) qualsiasi richiesta ricevuta direttamente dagli interessati cui non abbia risposto, salvo che sia stato autorizzato a non rispondere;
(...)».
36 La nota a piè di pagina cui fa rinvio il titolo di tale clausola 5 è formulata nei termini seguenti:
«Disposizioni vincolanti della legislazione nazionale applicabile all'importatore che non vanno oltre quanto è necessario in una società democratica sulla base di uno degli interessi di cui all'articolo 13, paragrafo 1, della direttiva [95/46]; in altri termini, le restrizioni necessarie alla salvaguardia della sicurezza dello Stato, della difesa, della pubblica sicurezza, della prevenzione, della ricerca, dell'accertamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate, di un rilevante interesse economico o finanziario dello Stato, della protezione della persona cui si riferiscono i dati o dei diritti o delle libertà altrui, non sono in contraddizione con le clausole contrattuali tipo. (...)».
37 La clausola 6 dell'allegato della decisione CPT, intitolata «Responsabilità», è così formulata:
«1. Le parti convengono che l'interessato che abbia subito un pregiudizio per violazione degli obblighi di cui alla clausola 3 o alla clausola 11 ad opera di una parte o del subincaricato ha diritto di ottenere dall'esportatore il risarcimento del danno sofferto.
2. Qualora l'interessato non sia in grado di proporre l'azione di risarcimento di cui al paragrafo 1 nei confronti dell'esportatore per violazione di uno degli obblighi di cui alla clausola 3 o alla clausola 11 ad opera dell'importatore o del subincaricato, in quanto l'esportatore sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, l'importatore riconosce all'interessato stesso il diritto di agire nei suoi confronti così come se egli fosse l'esportatore (...).
(...)».
38 La clausola 8 di tale allegato, intitolata «Collaborazione con le autorità di controllo», al paragrafo 2, prevede quanto segue:
«Le parti dichiarano che l'autorità di controllo ha il diritto di sottoporre a controlli l'importatore e i subincaricati nella stessa misura e secondo le stesse modalità previste per l'esportatore dalla normativa sulla protezione dei dati».
39 La clausola 9 del medesimo allegato, intitolata «Legge applicabile», precisa che tali clausole sono soggette alla legge dello Stato membro in cui è stabilito l'esportatore.
40 La clausola 11 di tale allegato, dal titolo «Subcontratto», è del seguente tenore:
«1. L'importatore non può subcontrattare i trattamenti effettuati per conto dell'esportatore ai sensi delle presenti clausole senza il previo consenso scritto dell'esportatore stesso. L'importatore che, con il consenso dell'esportatore, affidi in subcontratto l'esecuzione degli obblighi ai sensi delle presenti clausole stipula, a tal fine, con il subincaricato un accordo scritto che imponga a quest'ultimo gli obblighi cui è egli stesso tenuto in virtù delle clausole (...)
2. Nell'accordo scritto tra l'importatore e il subincaricato è inserita la clausola del terzo beneficiario, di cui alla clausola 3, a favore dell'interessato che non sia in grado di proporre l'azione di risarcimento di cui alla clausola 6, paragrafo 1, nei confronti dell'esportatore o dell'importatore in quanto l'esportatore e l'importatore siano entrambi scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi, e nessun successore abbia assunto, per contratto o per legge, l'insieme dei loro obblighi. La responsabilità civile del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti clausole.
(…)».
41 La clausola 12 dell'allegato della decisione CPT, rubricata «Obblighi al termine dell'attività di trattamento dei dati personali», al paragrafo 1 così prevede:
«Le parti convengono che al termine dell'attività di trattamento l'importatore e il subincaricato provvedono, a scelta dell'esportatore, a restituire a quest'ultimo tutti i dati personali trasferiti e le relative copie ovvero a distruggere tali dati, certificando all'esportatore l'avvenuta distruzione, salvo che gli obblighi di legge impediscano di restituire o distruggere in tutto o in parte i dati personali trasferiti. (...)».

Decisione «scudo per la privacy»

42 Con sentenza del 6 ottobre 2015, Schrems (C 362/14, EU:C:2015:650), la Corte ha annullato la decisione 2000/520/CE della Commissione, del 26 luglio 2000, a norma della direttiva [95/46] sull'adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative «Domande più frequenti» (FAQ) in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti (GU 2000, L 215, pag. 7), nella quale la Commissione aveva constatato che tale paese terzo garantiva un livello di protezione adeguato.
43 In seguito alla pronuncia di tale sentenza, la Commissione ha adottato la decisione «scudo per la privacy», dopo aver proceduto, ai fini della sua adozione, ad una valutazione della normativa degli Stati Uniti, come precisato dal punto 65 di detta decisione:
«La Commissione ha valutato le limitazioni e le garanzie cui la normativa statunitense subordina la facoltà delle autorità pubbliche statunitensi di accedere e usare i dati personali trasferiti nell'ambito dello scudo [UE-USA per la privacy] per soddisfare esigenze di sicurezza nazionale, amministrazione della giustizia o altro scopo d'interesse pubblico. Il governo statunitense ha altresì comunicato alla Commissione, tramite l'Ufficio del direttore dell'intelligence nazionale ([Office of the Director of National Intelligence,] ODNI), le dichiarazioni e gli impegni particolareggiati riportati nell'allegato VI della presente decisione. Con lettera firmata dal segretario di Stato, acclusa alla presente decisione come allegato III, il governo degli Stati Uniti si è impegnato altresì a creare un nuovo meccanismo di vigilanza sulle ingerenze per motivi di sicurezza nazionale, indipendente dai servizi di intelligence: il Mediatore dello scudo. Infine, la dichiarazione del Dipartimento della Giustizia degli USA, riportata nell'allegato VII della presente decisione, espone le garanzie e limitazioni relative all'accesso delle autorità pubbliche ai dati per finalità di contrasto e di interesse pubblico. Ai fini della trasparenza e per rispecchiare la natura giuridica di questi impegni, ciascuno dei documenti elencati e allegati alla presente decisione è pubblicato nel Registro federale degli USA».
44 L'analisi effettuata dalla Commissione in merito a tali limiti e garanzie è riassunta ai punti da 67 a 135 della decisione «scudo per la privacy», mentre le conclusioni di tale istituzione relative al livello adeguato di protezione nell'ambito dello scudo Unione europea-Stati Uniti per la privacy figurano ai punti da 136 a 141 di quest'ultima.
45 In particolare, i punti 68, 69, 76, 77, 109, da 112 a 116, 120, 136 e 140 di detta decisione così recitano:
«(68) In virtù della Costituzione degli Stati Uniti, garantire la sicurezza nazionale rientra nei poteri del presidente in qualità di comandante supremo, di capo dell'esecutivo e, per quanto riguarda l'intelligence esterna, di responsabile della conduzione degli affari esteri degli Stati Uniti (…). Sebbene il Congresso abbia il potere d'imporre limitazioni a queste prerogative, e di fatto sia intervenuto in tal senso sotto vari aspetti, il presidente può indirizzare le attività della comunità dell'intelligence statunitense, in particolare mediante decreti o direttive presidenziali. (...) Attualmente i due strumenti giuridici centrali sono il decreto presidenziale 12333 ([Executive Order 12333; in prosieguo: l'"EO 12333"]) (…) e la direttiva presidenziale 28 ([Presidential Policy directive 28; in prosieguo: la "PPD-28"]).
(69) La PPD-28, emanata il 17 gennaio 2014, impone una serie di limitazioni alle operazioni di "intelligence dei segnali" (…). La direttiva presidenziale è vincolante per le autorità di intelligence statunitensi (…) e resta in vigore anche quando cambia l'amministrazione degli Stati Uniti (…). La PPD-28, che riveste particolare importanza per i cittadini stranieri, compresi gli interessati nell'Unione europea (...)
(...)
(76) Sebbene non formulati nei medesimi termini giuridici, nell'essenza [i principi della PPD-28] rispecchiano i principi di necessità e di proporzionalità. (...)
(77) In quanto stabiliti in una direttiva emanata dal presidente nella sua veste di capo dell'esecutivo, detti requisiti sono vincolanti per tutta la comunità dell'intelligence e ad essi è stata data successivamente attuazione con le norme e procedure adottate dai vari enti per tradurre i principi generali in istruzioni specifiche per l'operatività quotidiana. (...)
(...)
(109) Per converso, nell'ambito dell'articolo 702 della [Foreign Intelligence Surveillance Act (FISA)] [l'United States Foreign Intelligence Surveillance Court (FISC) (tribunale per la sorveglianza dell'intelligence esterna degli Stati Uniti); in prosieguo: la «Corte FISA»] non autorizza singole misure di sorveglianza, ma piuttosto programmi di sorveglianza (quali PRISM e UPSTREAM) basandosi sulle certificazioni annuali preparate dal[l'United States Attorney General (Procuratore generale)] e dal [Director of National Intelligence (DNI) (Direttore dell'intelligence nazionale)]. (...) Come indicato in precedenza, le certificazioni che la Corte FISA deve approvare non contengono informazioni sul singolo potenziale obiettivo, ma indicano piuttosto categorie di informazioni di intelligence esterna (…). La Corte FISA non valuta, in base a eleme


© Riproduzione Riservata