Sentenza della Corte (Grande Sezione) del 16 luglio 2020.#Data Protection Commissioner contro Facebook Ireland Limited e Maximillian Schrems.#Domanda di pronuncia pregiudiziale proposta dalla High Court (Irlanda).#Rinvio pregiudiziale – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Carta dei diritti fondamentali dell’Unione europea – Articoli 7, 8 e 47 – Regolamento (UE) 2016/679 – Articolo 2, paragrafo 2 – Ambito di applicazione – Trasferimento a fini commerciali di dati personali verso paesi terzi – Articolo 45 – Decisione di adeguatezza della Commissione – Articolo 46 – Trasferimento soggetto a garanzie adeguate – Articolo 58 – Poteri delle autorità di controllo – Trattamento da parte delle pubbliche autorità di un paese terzo, a fini di sicurezza nazionale, dei dati trasferiti – Valutazione dell’adeguatezza del livello di protezione garantito in un paese terzo – Decisione 2010/87/UE – Clausole tipo di protezione per il trasferimento di dati personali verso paesi terzi – Garanzie appropriate offerte dal titolare del trattamento – Validità – Decisione di esecuzione (UE) 2016/1250 – Adeguatezza della protezione garantita dallo scudo Unione europea-Stati Uniti per la privacy – Validità – Denuncia di una persona fisica i cui dati sono stati trasferiti dall’Unione europea verso gli Stati Uniti.#Causa C-311/18.
Sintesi tramite sistema IA Doctrine
L'intelligenza artificiale può commettere errori. Verifica sempre i contenuti generati.Beta
Segnala un errore nella sintesiSul provvedimento
Testo completo
SENTENZA DELLA CORTE (Grande Sezione)
16 luglio 2020 ( *1 )
«Rinvio pregiudiziale – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Carta dei diritti fondamentali dell’Unione europea – Articoli 7, 8 e 47 – Regolamento (UE) 2016/679 – Articolo 2, paragrafo 2 – Ambito di applicazione – Trasferimento a fini commerciali di dati personali verso paesi terzi – Articolo 45 – Decisione di adeguatezza della Commissione – Articolo 46 – Trasferimento soggetto a garanzie adeguate – Articolo 58 – Poteri delle autorità di controllo – Trattamento da parte delle pubbliche autorità di un paese terzo, a fini di sicurezza nazionale, dei dati trasferiti – Valutazione dell’adeguatezza del livello di protezione garantito in un paese terzo – Decisione 2010/87/UE – Clausole tipo di protezione per il trasferimento di dati personali verso paesi terzi – Garanzie appropriate offerte dal titolare del trattamento – Validità – Decisione di esecuzione (UE) 2016/1250 – Adeguatezza della protezione garantita dallo scudo Unione europea-Stati Uniti per la privacy – Validità – Denuncia di una persona fisica i cui dati sono stati trasferiti dall’Unione europea verso gli Stati Uniti»
Nella causa C‑311/18,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dalla High Court (Alta Corte, Irlanda), con decisione del 4 maggio 2018, pervenuta in cancelleria il 9 maggio 2018, nel procedimento
Data Protection Commissioner
contro
Facebook Ireland Ltd,
Maximillian S,
con l’intervento di:
The United States of America,
Electronic Privacy Information Centre,
BSA Business Software Alliance Inc.,
Digitaleurope,
LA CORTE (Grande Sezione),
composta da K. Lenaerts, presidente, R. Silva de Lapuerta, vicepresidente, A. Arabadjiev, A. Prechal, M. Vilaras, M. Safjan, S. Rodin, P.G. Xuereb, L.S. Rossi e I. Jarukaitis, presidenti di sezione, M. Ilešič, T. von Danwitz (relatore) e D. Šváby, giudici,
avvocato generale: H. Saugmandsgaard Øe
cancelliere: C. Strömholm, amministratrice
vista la fase scritta del procedimento e in seguito all’udienza del 9 luglio 2019,
considerate le osservazioni presentate:
– |
per il Data Protection Commissioner, da D. Young, solicitor, B. Murray e M. Collins, SC, nonché C. Donnelly, BL; |
– |
per Facebook Ireland Ltd, da P. Gallagher e N. Hyland, SC, A. Mulligan e F. Kieran, BL, nonché P. Nolan, C. Monaghan, C. O’Neill e R. Woulfe, solicitors; |
– |
per M. S, da H. Hofmann, Rechtsanwalt, E. McCullough, J. Doherty e S. O’Sullivan, SC, nonché G. Rudden, solicitor; |
– |
per The United States of America, da E. Barrington, SC, S. Kingston, BL, nonché S. Barton e B. Walsh, solicitors; |
– |
per l’Electronic Privacy Information Centre, da S. Lucey, solicitor, G. Gilmore e A. Butler, BL, nonché C. O’Dwyer, SC; |
– |
per BSA Business Software Alliance Inc., da B. Van Vooren e K. Van Quathem, advocaten; |
– |
per Digitaleurope, da N. Cahill, barrister, J. Cahir, solicitor, e M. Cush, SC; |
– |
per l’Irlanda, da A. Joyce e M. Browne, in qualità di agenti, assistiti da D. Fennelly, BL; |
– |
per il governo belga, da J.-C. H e P. Cottin, in qualità di agenti; |
– |
per il governo ceco, da M. Smolek, J. Vláčil, O. Serdula e A. Kasalická, in qualità di agenti; |
– |
per il governo tedesco, da J. Möller, D. Klebs e T. Henze, in qualità di agenti; |
– |
per il governo francese, da A.-L. Desjonquères, in qualità d’agente; |
– |
per il governo dei Paesi Bassi, da C.S. Schillemans, K. Bulterman e M. Noort, in qualità di agenti; |
– |
per il governo austriaco, da J. Schmoll e G. Kunnert, in qualità di agenti; |
– |
per il governo polacco, da B. Majczyna, in qualità di agente; |
– |
per il governo portoghese, da L. Inez Fernandes, A. Pimenta e C. Vieira Guerra, in qualità di agenti; |
– |
per il governo del Regno Unito, da S. Brandon, in qualità di agente, assistito da J. Holmes, QC, e C. Knight, barrister; |
– |
per il Parlamento europeo, da M.J. Martínez Iglesias e A. Caiola, in qualità di agenti; |
– |
per la Commissione europea, da D. Nardi, H. Krämer e H. Kranenborg, in qualità di agenti; |
– |
per il Comitato europeo per la protezione dei dati (EDPB), da A. Jelinek e K. Behn, in qualità di agenti, |
sentite le conclusioni dell’avvocato generale, presentate all’udienza del 19 dicembre 2019,
ha pronunciato la seguente
Sentenza
1 |
La domanda di pronuncia pregiudiziale in sostanza, verte:
|
2 |
Tale domanda è stata presentata nell’ambito di una controversia che vede opposti il Data Protection Commissioner (Commissario per la protezione dei dati;in prosieguo: il «Commissario») a Facebook Ireland Ltd e al sig. Maximillian S relativamente ad una denuncia presentata da quest’ultimo riguardo al trasferimento di dati personali da parte di Facebook Ireland Ltd a Facebook Inc. negli Stati Uniti. |
Contesto normativo
Direttiva 95/46
3 |
L’articolo 3 della direttiva 95/46, intitolato «Campo d’applicazione», al suo paragrafo 2 enunciava quanto segue: «Le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali[:]
(...)». |
4 |
L’articolo 25 di tale direttiva così disponeva: «1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali (...) può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva. 2. L’adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati;(...) (...) 6 La Commissione può constatare, secondo la procedura di cui all’articolo 31, paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, in particolare di quelli assunti in seguito ai negoziati di cui al paragrafo 5, ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona. Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione». |
5 |
L’articolo 26, paragrafi 2 e 4, di detta direttiva prevedeva quanto segue: «2. Salvo il disposto del paragrafo 1, uno Stato membro può autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato ai sensi dell’articolo 25, paragrafo 2, qualora il responsabile del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l’esercizio dei diritti connessi;tali garanzie possono segnatamente risultare da clausole contrattuali appropriate. (...) 4. Qualora la Commissione decida, secondo la procedura di cui all’articolo 31, paragrafo 2, che alcune clausole contrattuali tipo offrono le garanzie sufficienti di cui al paragrafo 2, gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione». |
6 |
Ai sensi dell’articolo 28, paragrafo 3, della medesima direttiva: «Ogni autorità di controllo dispone in particolare:
(…)». |
RGPD