Babele Oggi

Una selezione di notizie dalla Galassia

Blog costituzionale

Diabolica persistenza

Babele Oggi

Come scrissero Genna Churches e Monika Zalnieriute qui il 16 luglio, il giorno in cui fu pubblicata la decisione di Schrems II , leggere la sentenza dà più di un semplice sentimento déjà vu; sembra piuttosto un giorno della marmotta in piena regola: si ha l'impressione di essere intrappolati in un ciclo temporale che ci costringe a rivivere il giorno – 6 ottobre 2015 – in cui la Corte di giustizia dell'Unione europea (CGUE) ha adottato Schrems I e ha invalidato la decisione Safe Harbor della Commissione europea ( Safe Harbor ) adottata il 26 luglio 2000.

Passando dal cinema al mondo dei classici, esiste una famosa massima latina secondo la quale "errare humanum est perseverare autem diabolicum" , che significa "mentre è umano sbagliare, è diabolico persistere con lo stesso errore".

Più di una settimana dopo l'adozione del giudizio di Schrems II , in seguito alle centinaia di commenti sull'argomento, cercherò modestamente di considerare il giudizio (e la saga sottostante) da due punti di vista particolari, traendo ispirazione dalla massima latina di cui sopra.

Innanzi tutto, mi concentrerò sulla diabolica persistenza della Commissione europea e, in secondo luogo, sulla manipolazione giudiziaria come peccato originale della CGUE e sulle sue ambizioni (non così nascoste) e frustrazioni (di non essere una Corte costituzionale).

1. La diabolica perseveranza della Commissione europea (per poco più di due decenni)

È il 15 maggio 2000 a Bruxelles. Uno dei giganti della privacy europea, Stefano Rodotà, capo dell'autorità italiana per la protezione dei dati e del gruppo di lavoro sull'articolo 29, ha essenzialmente scritto il parere in cui tale gruppo di lavoro ha chiaramente espresso le proprie preoccupazioni sul progetto di decisione della Commissione in merito all'adeguatezza. Le principali preoccupazioni si sono concentrate in particolare sulla necessità di chiarezza per quanto riguarda l'ambito di applicazione di Safe Harbor , il restringimento delle eccezioni e delle esenzioni, nonché la necessità di garanzie adeguate in relazione al ricorso individuale.

Pochi mesi dopo, il 6 luglio, la relazione del Parlamento europeo (Elena Paciotti come relatrice e difensore dei diritti fondamentali) sul progetto della Commissione ha chiaramente sottolineato che "una protezione adeguata non significa di per sé che il paese terzo debba avere le stesse regole del Unione ma che, indipendentemente dal tipo di protezione legislativa in vigore nel paese terzo, l'interessato deve essere efficacemente protetto ” . Ha quindi concluso solennemente, chiedendo alla Commissione europea di “allegare questa risoluzione alla sua lettera di trasmissione alle autorità degli Stati Uniti, sottolineando così chiaramente la preoccupazione del Parlamento per l'assenza di un diritto individuale di ricorso giurisdizionale e il mancato accordo per obbligare le società a pagare compensazione per dati trattati in violazione di legge ”.

Come si può immaginare, le forti preoccupazioni non sono state sufficienti a indurre la Commissione europea a cambiare posizione e il progetto è stato approvato senza ulteriori emendamenti. Inoltre, 15 anni dopo, la CGUE ha ribadito questa posizione di base in Schrems I , sottolineando esattamente le stesse preoccupazioni sollevate nel 2000 dal gruppo di lavoro sull'articolo 29 e dal Parlamento europeo.

La decisione sull'adeguatezza è stata invalidata, l'ombrello di Safe Harbor è stato strappato e c'erano ragionevoli aspettative che un nuovo accordo transatlantico avrebbe preso in considerazione le preoccupazioni iniziali sollevate a livello vocale dalla CGUE.

Le aspettative sono diventate ancora più grandi dopo che la CGUE ha sviluppato il nuovo approccio attivista all'interno della sua giurisprudenza sull'applicazione giudiziaria della privacy digitale: non solo in Schrems I ma anche, meno di un anno prima , in Digital Rights Ireland e Google Spain .

Come è stato scritto da Giovanni De Gregorio alla fine del secolo scorso, l'Unione ha adottato un approccio liberale. Una severa regolamentazione dell'ambiente online avrebbe danneggiato la crescita del mercato interno, proprio quando le nuove tecnologie avrebbero rivoluzionato l'intera società e promesso nuove opportunità per il mercato interno. La fine di questa prima stagione liberale fu il conseguente nuovo approccio attivista della CGUE, con l'obiettivo di un intervento più rigoroso. Questo è stato il risultato della Carta di Nizza come distinta dei diritti e nuove sfide sollevate da attori privati ​​nell'ambiente digitale.

In ogni caso, le aspettative menzionate essenzialmente non equivalgono a nulla: Privacy Shield , il successore di Safe Harbor non le ha soddisfatte.

Per la seconda volta, il compromesso finale è stato vincente per le ambizioni commerciali statunitensi e perdente per coloro che hanno continuato a chiedere ai negoziatori dell'Unione europea di prendere sul serio i diritti alla privacy e alla protezione dei dati, poiché i diritti costituzionali europei sono sanciti dalla Carta europea dei diritti fondamentali ECFR).

Tra i molti punti deboli, due sono particolarmente evidenti. Mostrano che Privacy Shield non ha corretto le questioni pratiche e legali associate all'invalidazione di Safe Harbor da parte della Corte come il regime precedente. In primo luogo, le preoccupazioni per la sicurezza nazionale delle autorità degli Stati Uniti sembrano aver goduto di un primato assoluto sulla protezione dei dati personali dei cittadini dell'UE ai sensi dell'accordo della Commissione europea con gli Stati Uniti. In secondo luogo, non sembra esserci alcun meccanismo per garantire un ricorso effettivo ai cittadini dell'UE contro tali intrusioni nei diritti fondamentali. Entrambi erano già argomenti chiave per la CGUE nell'invalidare la decisione in Schrems I ( punti 86-90 ).

In questo contesto, sarebbe stato probabilmente una scommessa stabilita che, accanto agli articoli 7 e 8, le disposizioni ECFR applicate dalla CGUE sarebbero state l'articolo 52 (proporzionalità) e l'articolo 47 (diritto a un ricorso effettivo)).

La Corte ha dichiarato in relazione alla precedente disposizione che i programmi di sorveglianza statunitensi, che la Commissione ha valutato nella sua decisione sullo scudo per la privacy , non si limitano a quelli strettamente necessari e proporzionati, come richiesto dal diritto dell'UE. Per quanto riguarda l'articolo 47 del QCER, la Corte ha dichiarato (sorpresa sorpresa, in seguito al mantra degli ultimi 20 anni) che, per quanto riguarda la sorveglianza degli Stati Uniti, le persone interessate nell'UE mancano di un ricorso giurisdizionale perseguibile e, pertanto, non hanno alcun diritto di un rimedio efficace negli Stati Uniti

Prima di passare alla seconda prospettiva, rimane ancora una domanda per quanto riguarda la diabolica perseveranza della Commissione europea. Non sarebbe stato possibile per il Parlamento europeo fare di più in anticipo, prima che la prima e la seconda decisione di adeguatezza fossero state formalmente adottate?

La risposta è semplicemente "no". Questo perché, nonostante gli sforzi persuasivi di Emilio De Capitani (direttore esecutivo del gruppo di esperti europei sui diritti fondamentali), la modifica della base giuridica pertinente (dalla direttiva 95/46 al regolamento generale sulla protezione dei dati (GDPR)) non è cambiata la natura delle decisioni di adeguatezza adottate dalla Commissione.

Si tratta ancora di atti discrezionali esecutivi e non di atti legislativi, per i quali il potere della Commissione di adottare una decisione di adeguatezza sarebbe soggetto a limiti più rigorosi rispetto ad oggi. È sufficiente affermare che il Parlamento e il Consiglio possono revocare la delega o esprimere obiezioni a qualsiasi atto delegato. Questa potrebbe essere un'occasione persa, ma c'è ancora una finestra nella prossima revisione del GDPR della Commissione europea. Quindi sarebbe meglio evitare almeno questo tipo di perseveranza diabolica .

2. La manipolazione giudiziaria della CGUE è stata ricaricata e l'addestramento come Corte costituzionale europea

La manipolazione giudiziaria da parte della CGUE a Schrems I è ancora fresca nelle nostre menti: "anche se un livello adeguato di protezione non richiede ai paesi terzi di adottare uno standard identico, gli individui possono tuttavia godere di un grado di protezione" sostanzialmente equivalente "a quello offerto dal diritto dell'UE ” (paragrafo 73). L'equivalenza del grado di protezione è richiesta, secondo la Corte, "in virtù di un'interpretazione della direttiva sulla protezione dei dati alla luce della Carta" .

La Carta diventa quindi il dispositivo legale per la Corte di aumentare il livello di protezione richiesto dal diritto dell'UE manipolando il parametro di "adeguatezza", che si trasforma nel diverso requisito di "equivalenza essenziale". La differenza tra questi due criteri non deve essere trascurata. Il primo non implica un confronto diretto tra il livello di protezione dell'UE e degli Stati Uniti, mentre il secondo si basa su tale confronto.

Il GDPR non ha codificato la manipolazione giudiziaria menzionata in modo esplicito. È possibile che lo stesso GDPR, al considerando 104, affermi che “Il paese terzo dovrebbe offrire garanzie che garantiscano un livello di protezione adeguato sostanzialmente equivalente a quello garantito all'interno dell'Unione, in particolare quando i dati personali sono trattati in uno o più specifici settori ". Tuttavia, l'articolo 45 chiarisce ancora che tali casi comportano solo una valutazione dell'adeguatezza del livello di protezione e non un confronto.

La CGUE non ha voluto perdere l'occasione di proporre nuovamente la manipolazione giudiziaria richiamata sulla base del passaggio dall'adeguatezza all'equivalenza essenziale.

Il passaggio (e la manipolazione) è stato più semplice in questo caso rispetto alla prima volta ( Schrems I ) a causa del considerando 104 (menzionato sopra). Pertanto, non dovrebbe sorprendere se la Corte afferma che:

"La prima frase dell'articolo 45, paragrafo 1, del GDPR prevede che un trasferimento di dati personali verso un paese terzo possa essere autorizzato da una decisione della Commissione secondo la quale quel paese terzo, un territorio o uno o più settori specifici all'interno di tale terzo paese, garantisce un livello adeguato di protezione. A tale proposito, sebbene non richieda a un paese terzo di garantire un livello di protezione identico a quello garantito dall'ordinamento giuridico dell'Unione, il termine "livello di protezione adeguato", come confermato dal considerando 104 di detto regolamento, deve essere inteso nel senso che impone il paese terzo infatti garantisce, in virtù della sua legislazione nazionale o dei suoi impegni internazionali, un livello di protezione dei diritti e delle libertà fondamentali sostanzialmente equivalente a quello garantito nell'Unione europea in virtù del regolamento, letto alla luce del Charter ".

Come sappiamo da Google Spagna e in particolare da Digital Rights Ireland , la Carta, in quanto Carta dei diritti europea, è stata finora la carta vincente costituzionale giocata dalla CGUE quando si è impegnata in attivismo giudiziario al fine di far valere i diritti alla privacy digitale. In tal modo, rafforza la sua ambizione di diventare (e riduce la sua frustrazione per non essere formalmente) una vera corte costituzionale. Consideriamo il caso Schrems con riferimento alla narrativa correlata dell'equivalenza della protezione dei diritti fondamentali in Europa. Può essere una sorpresa che questa narrativa sia attraente per la CGUE, molto più della narrativa sull'adeguatezza. Solo il primo collega il quadro giudiziario di Schrems (I e II) con la più ampia narrazione della sentenza costituzionale nel diritto costituzionale europeo, da Solange fino al Kadi , senza dimenticare Bosforo.

Anche qui non c'è nulla di nuovo sotto il sole; equivale a un altro processo per la CGUE al fine di essere pienamente pronto a svolgere un ruolo adeguato come Corte costituzionale paneuropea.

Osservazioni finali

In conclusione, ciò che deve essere adeguatamente indagato sono le implicazioni del giudizio per i nuovi ruoli (e nuove responsabilità) dei responsabili del trattamento dei dati e, più in generale, per le piattaforme digitali nel nuovo scenario giuridico relativo al trasferimento di dati verso paesi terzi. Tuttavia, un messaggio proveniente dal Lussemburgo sembra abbastanza chiaro anche da una prima lettura: l'esportatore di dati dovrà affrontare una valutazione piuttosto complessa e delicata, che implica un'ulteriore responsabilità, in particolare per le piattaforme con il difficile doppio status di fornitore di hosting e controller di dati.

Spiderman potrebbe dirci che da un grande potere derivano grandi responsabilità; eppure, come tutti gli studiosi costituzionali conoscono bene, il costituzionalismo riguarda i limiti del potere, e in questo caso la sfida è come affrontare i nuovi poteri digitali privati ​​mentre la geometria del potere si sta spostando da una dimensione verticale a una orizzontale. Sta diventando più chiaro che il percorso porterà ad aumentare ulteriormente le responsabilità degli intermediari.

Questa è la traduzione automatica di un articolo pubblicato su Verfassungsblog all’URL https://verfassungsblog.de/diabolical-persistence/ in data Sat, 25 Jul 2020 09:15:47 +0000.