Sentenza della Corte (Grande Sezione) del 16 luglio 2020.#Data Protection Commissioner contro Facebook Ireland Limited e Maximillian Schrems.#Domanda di pronuncia pregiudiziale proposta dalla High Court (Irlanda).#Rinvio pregiudiziale – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Carta dei diritti fondamentali dell’Unione europea – Articoli 7, 8 e 47 – Regolamento (UE) 2016/679 – Articolo 2, paragrafo 2 – Ambito di applicazione – Trasferimento a fini commerciali di dati personali verso paesi terzi – Articolo 45 – Decisione di adeguatezza della Commissione – Articolo 46 – Trasferimento soggetto a garanzie adeguate – Articolo 58 – Poteri delle autorità di controllo – Trattamento da parte delle pubbliche autorità di un paese terzo, a fini di sicurezza nazionale, dei dati trasferiti – Valutazione dell’adeguatezza del livello di protezione garantito in un paese terzo – Decisione 2010/87/UE – Clausole tipo di protezione per il trasferimento di dati personali verso paesi terzi – Garanzie appropriate offerte dal titolare del trattamento – Validità – Decisione di esecuzione (UE) 2016/1250 – Adeguatezza della protezione garantita dallo scudo Unione europea-Stati Uniti per la privacy – Validità – Denuncia di una persona fisica i cui dati sono stati trasferiti dall’Unione europea verso gli Stati Uniti.#Causa C-311/18.

Sintesi tramite sistema IA Doctrine

L'intelligenza artificiale può commettere errori. Verifica sempre i contenuti generati.Beta

Segnala un errore nella sintesi

Sul provvedimento

Citazione :	Sentenza della Corte (Grande Sezione) del 16 luglio 2020.#Data Protection Commissioner contro Facebook Ireland Limited e Maximillian Schrems.#Domanda di pronuncia pregiudiziale proposta dalla High Court (Irlanda).#Rinvio pregiudiziale – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Carta dei diritti fondamentali dell’Unione europea – Articoli 7, 8 e 47 – Regolamento (UE) 2016/679 – Articolo 2, paragrafo 2 – Ambito di applicazione – Trasferimento a fini commerciali di dati personali verso paesi terzi – Articolo 45 – Decisione di adeguatezza della Commissione – Articolo 46 – Trasferimento soggetto a garanzie adeguate – Articolo 58 – Poteri delle autorità di controllo – Trattamento da parte delle pubbliche autorità di un paese terzo, a fini di sicurezza nazionale, dei dati trasferiti – Valutazione dell’adeguatezza del livello di protezione garantito in un paese terzo – Decisione 2010/87/UE – Clausole tipo di protezione per il trasferimento di dati personali verso paesi terzi – Garanzie appropriate offerte dal titolare del trattamento – Validità – Decisione di esecuzione (UE) 2016/1250 – Adeguatezza della protezione garantita dallo scudo Unione europea-Stati Uniti per la privacy – Validità – Denuncia di una persona fisica i cui dati sono stati trasferiti dall’Unione europea verso gli Stati Uniti.#Causa C-311/18.
Giurisdizione :	Corte di Giustizia dell'Unione Europea
Numero :	62018CJ0311
Data del deposito :	16 luglio 2020
Fonte ufficiale :

Testo completo

SENTENZA DELLA CORTE (Grande Sezione)

16 luglio 2020 ( *1 )

«Rinvio pregiudiziale – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Carta dei diritti fondamentali dell’Unione europea – Articoli 7, 8 e 47 – Regolamento (UE) 2016/679 – Articolo 2, paragrafo 2 – Ambito di applicazione – Trasferimento a fini commerciali di dati personali verso paesi terzi – Articolo 45 – Decisione di adeguatezza della Commissione – Articolo 46 – Trasferimento soggetto a garanzie adeguate – Articolo 58 – Poteri delle autorità di controllo – Trattamento da parte delle pubbliche autorità di un paese terzo, a fini di sicurezza nazionale, dei dati trasferiti – Valutazione dell’adeguatezza del livello di protezione garantito in un paese terzo – Decisione 2010/87/UE – Clausole tipo di protezione per il trasferimento di dati personali verso paesi terzi – Garanzie appropriate offerte dal titolare del trattamento – Validità – Decisione di esecuzione (UE) 2016/1250 – Adeguatezza della protezione garantita dallo scudo Unione europea-Stati Uniti per la privacy – Validità – Denuncia di una persona fisica i cui dati sono stati trasferiti dall’Unione europea verso gli Stati Uniti»

Nella causa C‑311/18,

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dalla High Court (Alta Corte, Irlanda), con decisione del 4 maggio 2018, pervenuta in cancelleria il 9 maggio 2018, nel procedimento

Data Protection Commissioner

contro

Facebook Ireland Ltd,

Maximillian S,

con l’intervento di:

The United States of America,

Electronic Privacy Information Centre,

BSA

Business Software Alliance Inc.,

Digitaleurope,

LA CORTE (Grande Sezione),

composta da K. Lenaerts, presidente, R. Silva de Lapuerta, vicepresidente, A. Arabadjiev, A. Prechal, M. Vilaras, M. Safjan, S. Rodin, P.G. Xuereb, L.S. Rossi e I. Jarukaitis, presidenti di sezione, M. Ilešič, T. von Danwitz (relatore) e D. Šváby, giudici,

avvocato generale: H. Saugmandsgaard Øe

cancelliere: C. Strömholm, amministratrice

vista la fase scritta del procedimento e in seguito all’udienza del 9 luglio 2019,

considerate le osservazioni presentate:

–	per il Data Protection Commissioner, da D. Young, solicitor, B. Murray e M. Collins, SC, nonché C. Donnelly, BL;

–	per Facebook Ireland Ltd, da P. Gallagher e N. Hyland, SC, A. Mulligan e F. Kieran, BL, nonché P. Nolan, C. Monaghan, C. O’Neill e R. Woulfe, solicitors;

–	per M. S, da H. Hofmann, Rechtsanwalt, E. McCullough, J. Doherty e S. O’Sullivan, SC, nonché G. Rudden, solicitor;

–	per The United States of America, da E. Barrington, SC, S. Kingston, BL, nonché S. Barton e B. Walsh, solicitors;

–	per l’Electronic Privacy Information Centre, da S. Lucey, solicitor, G. Gilmore e A. Butler, BL, nonché C. O’Dwyer, SC;

–	per BSA Business Software Alliance Inc., da B. Van Vooren e K. Van Quathem, advocaten;

–	per Digitaleurope, da N. Cahill, barrister, J. Cahir, solicitor, e M. Cush, SC;

–	per l’Irlanda, da A. Joyce e M. Browne, in qualità di agenti, assistiti da D. Fennelly, BL;

–	per il governo belga, da J.-C. H e P. Cottin, in qualità di agenti;

–	per il governo ceco, da M. Smolek, J. Vláčil, O. Serdula e A. Kasalická, in qualità di agenti;

–	per il governo tedesco, da J. Möller, D. Klebs e T. Henze, in qualità di agenti;

–	per il governo francese, da A.-L. Desjonquères, in qualità d’agente;

–	per il governo dei Paesi Bassi, da C.S. Schillemans, K. Bulterman e M. Noort, in qualità di agenti;

–	per il governo austriaco, da J. Schmoll e G. Kunnert, in qualità di agenti;

–	per il governo polacco, da B. Majczyna, in qualità di agente;

–	per il governo portoghese, da L. Inez Fernandes, A. Pimenta e C. Vieira Guerra, in qualità di agenti;

–	per il governo del Regno Unito, da S. Brandon, in qualità di agente, assistito da J. Holmes, QC, e C. Knight, barrister;

–	per il Parlamento europeo, da M.J. Martínez Iglesias e A. Caiola, in qualità di agenti;

–	per la Commissione europea, da D. Nardi, H. Krämer e H. Kranenborg, in qualità di agenti;

–	per il Comitato europeo per la protezione dei dati (EDPB), da A. Jelinek e K. Behn, in qualità di agenti,

sentite le conclusioni dell’avvocato generale, presentate all’udienza del 19 dicembre 2019,

ha pronunciato la seguente

Sentenza

La domanda di pronuncia pregiudiziale in sostanza, verte:

–

sull’interpretazione dell’articolo 3, paragrafo 2, primo trattino, degli articoli 25 e 26, nonché dell’articolo 28, paragrafo 3, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (

GU

1995, L 281, pag. 31), letti alla luce dell’articolo 4, paragrafo 2, TUE e degli articoli 7, 8 e 47 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»),

–

sull’interpretazione e la validità della decisione 2010/87/UE della Commissione, del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46 (

GU

2010, L 39, pag. 5), come modificata dalla decisione di esecuzione (UE) 2016/2297 della Commissione, del 16 dicembre 2016 (

GU

2016, L 344, pag. 100) (in prosieguo: «decisione CPT»), nonché

–

sull’interpretazione e la validità della decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (

GU

2016, L 207, pag. 1;
in prosieguo: la «decisione “scudo per la privacy”»).

Tale domanda è stata presentata nell’ambito di una controversia che vede opposti il Data Protection Commissioner (Commissario per la protezione dei dati;
in prosieguo: il «Commissario») a Facebook Ireland Ltd e al sig. Maximillian S relativamente ad una denuncia presentata da quest’ultimo riguardo al trasferimento di dati personali da parte di Facebook Ireland Ltd a Facebook Inc. negli Stati Uniti.

Contesto normativo

Direttiva 95/46

L’articolo 3 della direttiva 95/46, intitolato «Campo d’applicazione», al suo paragrafo 2 enunciava quanto segue:

«Le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali[:]

–

effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull’Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale;

(...)».

L’articolo 25 di tale direttiva così disponeva:

«1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali (...) può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.

2. L’adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati;
(...)

(...)

6 La Commissione può constatare, secondo la procedura di cui all’articolo 31, paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, in particolare di quelli assunti in seguito ai negoziati di cui al paragrafo 5, ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona.

Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione».

L’articolo 26, paragrafi 2 e 4, di detta direttiva prevedeva quanto segue:

«2. Salvo il disposto del paragrafo 1, uno Stato membro può autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato ai sensi dell’articolo 25, paragrafo 2, qualora il responsabile del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l’esercizio dei diritti connessi;
tali garanzie possono segnatamente risultare da clausole contrattuali appropriate.

(...)

4. Qualora la Commissione decida, secondo la procedura di cui all’articolo 31, paragrafo 2, che alcune clausole contrattuali tipo offrono le garanzie sufficienti di cui al paragrafo 2, gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione».

Ai sensi dell’articolo 28, paragrafo 3, della medesima direttiva:

«Ogni autorità di controllo dispone in particolare:

–	di poteri investigativi, come il diritto di accesso ai dati oggetto di trattamento e di raccolta di qualsiasi informazione necessaria all’esercizio della sua funzione di controllo;

–

di poteri effettivi d’intervento, come quello di formulare pareri prima dell’avvio di trattamenti, conformemente all’articolo 20, e di dar loro adeguata pubblicità o quello di ordinare il congelamento, la cancellazione o la distruzione dei dati, oppure di vietare a titolo provvisorio o definitivo un trattamento, ovvero quello di rivolgere un avvertimento o un monito al responsabile del trattamento o quello di adire i Parlamenti o altre istituzioni politiche nazionali;

–	del potere di promuovere azioni giudiziarie in caso di violazione delle disposizioni nazionali di attuazione della presente direttiva ovvero di adire per dette violazioni le autorità giudiziarie

(…)».

RGPD

La direttiva 95/46 è stata abrogata e sostituita dal regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46 (regolamento generale sulla protezione dei dati) (

Iscriviti per avere accesso a tutti i nostri contenuti, è gratuito!

Iscriviti gratuitamente

Hai già un account ? Accedi

Altri contenuti che potrebbero interessarti