Babele Oggi

Una selezione di notizie dalla Galassia

Blog costituzionale

Persistenza diabolica

Babele Oggi

Come hanno scritto qui Genna Churches e Monika Zalnieriute il 16 luglio, giorno in cui è stata pubblicata la decisione Schrems II , leggere la sentenza dà più di un semplice déjà vu; sembra piuttosto un vero e proprio Groundhog Day: si ha l'impressione di essere intrappolati in un loop temporale che ci costringe a rivivere il giorno – 6 ottobre 2015 – in cui la Corte di giustizia dell'Unione europea (CGUE) ha adottato Schrems I. e ha invalidato la decisione Safe Harbor della Commissione Europea ( Safe Harbor ) adottata il 26 luglio 2000.

Passando dal cinema al mondo dei classici, c'è una famosa massima latina secondo la quale “errare humanum est perseverare autem diabolicum” , che significa “mentre è umano errare, è diabolico persistere con lo stesso errore”.

A più di una settimana dall'adozione della sentenza Schrems II , a seguito delle centinaia di commenti sull'argomento, cercherò modestamente di considerare il giudizio (e la saga sottostante) da due punti di vista particolari, ispirandomi alla massima latina di cui sopra.

Prima di tutto, mi concentrerò sulla diabolica persistenza della Commissione europea e, in secondo luogo, sulla manipolazione giudiziaria come peccato originale della CGUE e sulle sue ambizioni e frustrazioni (non così nascoste) (di non essere una Corte costituzionale).

1. La diabolica perseveranza della Commissione Europea (da poco più di due decenni)

È il 15 maggio 2000 a Bruxelles. Uno dei giganti della privacy europea, Stefano Rodotà, capo dell'Autorità italiana per la protezione dei dati e del gruppo di lavoro sull'articolo 29, ha sostanzialmente autore del parere in cui tale gruppo ha espresso chiaramente le proprie preoccupazioni sul progetto di decisione di adeguatezza della Commissione. Le principali preoccupazioni si sono concentrate in particolare sulla necessità di chiarezza per quanto riguarda il campo di applicazione dell'approdo sicuro , il restringimento delle eccezioni e delle esenzioni, nonché la necessità di garanzie adeguate in relazione al ricorso individuale.

Pochi mesi dopo, il 6 luglio, il Rapporto del Parlamento Europeo (Elena Paciotti in qualità di relatrice e difensore dei diritti fondamentali) sul progetto della Commissione sottolineava chiaramente che “un'adeguata protezione non significa di per sé che il paese terzo dovrebbe avere le stesse regole del Unione ma che, indipendentemente dal tipo di tutela legislativa in vigore nel Paese terzo, l'interessato deve essere efficacemente protetto ” . Ha quindi concluso solennemente, chiedendo alla Commissione Europea "di allegare questa risoluzione alla sua lettera di trasmissione alle autorità degli Stati Uniti, sottolineando così chiaramente la preoccupazione del Parlamento per l'assenza di un diritto individuale di ricorso giudiziario e il mancato accordo per obbligare le società a pagare risarcimento per dati trattati illecitamente ”.

Come si può immaginare, le forti preoccupazioni non sono state sufficienti a indurre la Commissione Europea a cambiare posizione e il progetto è stato approvato senza ulteriori modifiche. Inoltre, 15 anni dopo la CGUE ha ribadito questa posizione di base in Schrems I , sottolineando esattamente le stesse preoccupazioni sollevate nel 2000 dal Gruppo di lavoro sull'articolo 29 e dal Parlamento europeo.

La decisione di adeguatezza è stata invalidata, l'ombrello di Safe Harbor è stato strappato e c'erano ragionevoli aspettative che un nuovo accordo transatlantico avrebbe tenuto conto delle preoccupazioni originarie sollevate vocalmente dalla CGUE.

Le aspettative sono diventate ancora maggiori dopo che la CGUE aveva sviluppato il nuovo approccio attivista all'interno della sua giurisprudenza sull'applicazione giudiziaria della privacy digitale: non solo in Schrems I ma anche, meno di un anno prima , in Digital Rights Ireland e Google Spain .

Come ha scritto Giovanni De Gregorio alla fine del secolo scorso, l'Unione ha adottato un approccio liberale. Una rigida regolamentazione dell'ambiente in linea avrebbe danneggiato la crescita del mercato interno, proprio nel momento in cui le nuove tecnologie avrebbero rivoluzionato l'intera società e promesso nuove opportunità per il mercato interno. La fine di questa prima stagione liberale fu il conseguente nuovo approccio attivista da parte della CGUE, che mirava a un intervento più rigoroso. Questo è stato il risultato della Carta di Nizza come carta dei diritti e nuove sfide sollevate dagli attori privati ​​nell'ambiente digitale.

In ogni caso, le citate aspettative sostanzialmente per nulla: Privacy Shield , il successore di Safe Harbor, non le ha soddisfatte.

Per la seconda volta, il compromesso finale è stato vincente per le ambizioni commerciali degli Stati Uniti e perdente per coloro che persistevano nel chiedere ai negoziatori dell'Unione europea di prendere sul serio i diritti alla privacy e alla protezione dei dati come diritti costituzionali europei sanciti nella Carta dei diritti fondamentali ( ECFR).

Tra i tanti punti deboli, due sono particolarmente evidenti. Dimostrano che lo scudo per la privacy non ha corretto le questioni pratiche e legali associate all'annullamento dell'approdo sicuro da parte della Corte come regime precedente. In primo luogo, le preoccupazioni per la sicurezza nazionale delle autorità degli Stati Uniti sembrano aver goduto del primato assoluto sulla protezione dei dati personali dei cittadini dell'UE nell'ambito dell'accordo della Commissione europea con gli Stati Uniti. In secondo luogo, non sembra esserci alcun meccanismo per garantire un ricorso efficace ai cittadini dell'UE contro tali intrusioni nei diritti fondamentali. Entrambi questi erano già argomenti chiave per la CGUE nell'annullare la decisione in Schrems I ( punti 86-90 ).

In questo contesto, sarebbe stata probabilmente una scommessa fissa che, accanto agli articoli 7 e 8, le disposizioni del CEDU adottate dalla CGUE sarebbero state l'articolo 52 (proporzionalità) e l'articolo 47 (diritto a un ricorso effettivo)).

La Corte ha dichiarato, in relazione alla precedente disposizione, che i programmi di sorveglianza degli Stati Uniti, valutati dalla Commissione nella sua decisione sullo scudo per la privacy , non si limitano a quanto strettamente necessario e proporzionato, come richiesto dal diritto dell'UE. Per quanto riguarda l'articolo 47 ECFR, la Corte ha ritenuto (sorpresa sorpresa, seguendo il mantra degli ultimi 20 anni) che, per quanto riguarda la sorveglianza statunitense, gli interessati dell'UE non hanno diritto di ricorso giurisdizionale e, pertanto, non hanno alcun diritto a un rimedio efficace negli Stati Uniti

Prima di passare alla seconda prospettiva, resta ancora una domanda sulla diabolica perseveranza della Commissione europea. Non sarebbe stato possibile per il Parlamento europeo fare di più in anticipo, prima che la prima e la seconda decisione di adeguatezza fossero state formalmente adottate?

La risposta è, molto semplicemente, "no". Questo perché, nonostante gli sforzi persuasivi di Emilio De Capitani (direttore esecutivo del Gruppo di esperti europei sui diritti fondamentali), la modifica della base giuridica pertinente (dalla direttiva 95/46 al regolamento generale sulla protezione dei dati (GDPR)) non ha modificato la natura delle decisioni di adeguatezza adottate dalla Commissione.

Si tratta ancora di atti discrezionali esecutivi e non atti legislativi, per i quali il potere della Commissione di adottare una decisione di adeguatezza sarebbe soggetto a limiti più severi rispetto a oggi. È sufficiente dire che il Parlamento e il Consiglio possono revocare la delega o esprimere obiezioni a qualsiasi atto delegato. Questa potrebbe essere un'opportunità persa, ma c'è ancora una finestra nella prossima revisione del GDPR della Commissione europea. Quindi sarebbe meglio evitare almeno questo tipo di perseveranza diabolica .

2. Ricarica della manipolazione giudiziaria della CGUE e formazione come Corte costituzionale europea

La manipolazione giudiziaria da parte della CGUE in Schrems I è ancora fresca nella nostra mente: "anche se un livello adeguato di protezione non richiede che i paesi terzi adottino uno standard identico, le persone possono comunque godere di un grado di protezione che è 'sostanzialmente equivalente' a quello offerto dal diritto dell'UE " (punto 73). L'equivalenza del grado di protezione è richiesta, secondo la Corte, “in virtù di un'interpretazione della direttiva sulla protezione dei dati alla luce della Carta” .

La Carta diventa così lo strumento giuridico della Corte per elevare il livello di tutela richiesto dal diritto comunitario manipolando il parametro di “adeguatezza”, che si trasforma nel diverso requisito di “equivalenza essenziale”. La differenza tra questi due criteri non deve essere trascurata. Il primo non implica un confronto diretto tra il livello di protezione dell'UE e quello degli Stati Uniti, mentre il secondo si basa su tale confronto.

Il GDPR non ha codificato in modo esplicito la citata manipolazione giudiziaria. Può accadere che lo stesso GDPR, al considerando 104, affermi che "Il paese terzo dovrebbe offrire garanzie che assicurino un livello di protezione adeguato essenzialmente equivalente a quello assicurato all'interno dell'Unione, in particolare quando i dati personali sono trattati in uno o più specifici settori ". Tuttavia, l'articolo 45 chiarisce ancora che tali casi comportano solo una valutazione dell'adeguatezza del livello di protezione e non un confronto.

La CGUE non ha voluto perdere l'opportunità di proporre ancora una volta la manipolazione giudiziaria richiamata basata sul passaggio dall'adeguatezza all'equivalenza essenziale.

Il passaggio (e la manipolazione) in questo caso è stato più facile rispetto alla prima volta ( Schrems I ) a causa del considerando 104 (citato sopra). Non dovrebbe quindi sorprendere quando la Corte afferma che:

"La prima frase dell'articolo 45, paragrafo 1, del GDPR prevede che un trasferimento di dati personali a un paese terzo può essere autorizzato da una decisione della Commissione secondo cui tale paese terzo, un territorio o uno o più settori specifici all'interno di tale terzo paese, garantisce un livello di protezione adeguato. A tale riguardo, sebbene non richieda a un paese terzo di garantire un livello di protezione identico a quello garantito nell'ordinamento giuridico dell'Unione, il termine “ livello di protezione adeguato '' deve, come confermato dal considerando 104 di tale regolamento, essere inteso come paese terzo infatti per garantire, in ragione del proprio diritto interno o dei propri impegni internazionali, un livello di tutela dei diritti e delle libertà fondamentali sostanzialmente equivalente a quello garantito all'interno dell'Unione Europea in virtù del regolamento, letto alla luce del Carta ”.

Come sappiamo da Google Spagna e in particolare da Digital Rights Ireland , la Carta, come Carta dei diritti europea, è stata finora la carta vincente costituzionale giocata dalla CGUE quando si è impegnata in attivismo giudiziario al fine di far rispettare i diritti alla privacy digitale. In tal modo, promuove la sua ambizione di diventare (e riduce la sua frustrazione per non essere formalmente) una vera e propria corte costituzionale Consideriamo il caso Schrems con riferimento alla narrativa correlata dell'equivalenza della tutela dei diritti fondamentali in Europa. Può sorprendere che questa narrazione sia attraente per la CGUE, molto più della narrazione dell'adeguatezza. Solo il primo collega il quadro giudiziario di Schrems (I e II) con la più ampia narrativa del giudizio costituzionale nel diritto costituzionale europeo, da Solange fino al Kadi , senza dimenticare il Bosforo.

Anche qui non c'è niente di nuovo sotto il sole; equivale a un altro processo per la Corte di giustizia dell'Unione europea per essere pienamente pronta a svolgere un ruolo appropriato come Corte costituzionale paneuropea.

Osservazioni finali

In conclusione, ciò che deve essere adeguatamente indagato sono le implicazioni del giudizio per i nuovi ruoli (e nuove responsabilità) dei titolari del trattamento e, più in generale, per le piattaforme digitali nel nuovo scenario giuridico relativo al trasferimento dei dati verso paesi terzi. Tuttavia, un messaggio proveniente dal Lussemburgo sembra abbastanza chiaro anche da una prima lettura: l'esportatore di dati dovrà affrontare una valutazione piuttosto complessa e delicata, che implica ulteriori responsabilità soprattutto per le piattaforme con il difficile doppio status di hosting provider e data controller.

Spiderman potrebbe dirci che da un grande potere derivano grandi responsabilità; eppure, come ogni studioso di costituzionalità ben sa, il costituzionalismo riguarda i limiti del potere, e in questo caso la sfida è come affrontare i nuovi poteri digitali privati ​​mentre la geometria del potere si sta spostando da una dimensione verticale a una orizzontale. Diventa più chiaro che il percorso porterà ad aumentare ulteriormente le responsabilità degli intermediari.

Questa è la traduzione automatica di un articolo pubblicato su Verfassungsblog all’URL https://verfassungsblog.de/diabolical-persistence/ in data Sat, 25 Jul 2020 09:15:47 +0000.