FB ha diritto a tutto e voi non avete diritto a un c....

 

Post virali I deliri dei gruppi Facebook e Telegram che inneggiano alla stop della quarantena

Tra fine marzo e inizio aprile, sui due social sono nate diverse pagine che incoraggiano a ribellarsi contro il lockdown. Per loro l’emergenza coronavirus è solo una truffa colossale

Pixabay

Nelle «piazze virtuali» del web, unici spazi di aggregazione frequentabili nelle settimane di lockdown, c’è chi, in queste ore, scalpita per le restrizioni anti-coronavirus. Tra la fine di marzo e il mese di aprile, su Facebook sono nati diversi gruppi e pagine che, spesso rifacendosi ai concetti di «libertà», «sovranità» e ai valori costituzionali, nel migliore dei casi si sono fatti collettori della frustrazione degli utenti, nel peggiore li incoraggiano a ribellarsi. 

Uno di questi gruppi, nato il 10 aprile scorso e che raccoglie più di 3000 membri, sotto un’immagine di copertina in cui campeggia la bandiera italiana e un passo dell’art. 1 della Costituzione («la sovranità appartiene al popolo»), usa lo slogan «Diciamo stop alla quarantena in Italia» e l’hashtag #iorestolibero per farsi portavoce di alcune di queste istanze. Tra le regole per parteciparvi, quella di accettarne «la filosofia», di condividere il pensiero secondo cui «tutto questo è anticostituzionale» e non esiste una vera emergenza che giustifichi la violazione dei diritti umani», oltre a un richiamo agli standard di «gentilezza e cortesia» a cui devono attenersi le interazioni. 

All’interno, come avviene in diversi altri gruppi della medesima ispirazione, a proliferare sono tesi del complotto, cospirazioniste e vicine all’universo no-vax. C’è chi si domanda se «si può chiedere il risarcimento danni per privazione della libertà personale», e qualcuno che vagheggia di portare la questione sul tavolo della «Corte penale internazionale per crimini contro l’umanità per uso vaccini, scie chimiche ecc.».

E avverte: «Dobbiamo essere uniti perché cercheranno di dividerci». C’è chi diffonde presunte password e indirizzi e-mail della «Bill & Melinda Gates Foundation», e di altre istituzioni come «WHO, WUHAN INSTITUTE, WORLD BANK, CDC, NHI», che, secondo quanto riporta il Site Intelligence Group e i media americani, sarebbero state hackerate da estremisti di destra (ma non è ancora chiaro se il materiale sia autentico).

C’è chi cita Pertini: «Battetevi sempre per la libertà», e chi grida a una «Bibbiano 2.0» commentando l’iniziativa annunciata dal sindaco di Milano Beppe Sala, in collaborazione con la cooperativa La Cordata, che mette a disposizione una struttura per ospitare i bambini figli di malati Covid: «Stanno escogitando qualcosa, sta a ognuno di noi reagire con i pugni», commenta qualcuno; «vogliono fare obbligatoria la vaccinazione per l’influenza per i bambini», nonostante «ci siano studi che dicono che possono avere più probabilità» di «prendere il coronavirus», afferma qualcun altro.

C’è poi chi condivide video che attesterebbero la «tranquillità degli ospedali» nei giorni della crisi,  a dimostrazione che «l’emergenza coronavirus è una truffa colossale», che «nessun medico può esporsi direttamente, pena la perdita del lavoro e la radiazione», e che «in Italia, si è instaurato un regime che minaccia chiunque gli si opponga. Il mondo è pieno di ospedali vuoti».

Tra gli utenti circola anche un video del dottor Stefano Montanari, noto per le sue battaglie contro le sostanze contaminanti nei vaccini, eloquentemente intitolato «Un golpe chiamato Covid». Insomma, c’è un po’ di tutto.

Ma c’è persino chi si organizza legalmente «per far valere» i propri diritti in tutte le sedi preposte, se necessario «anche internazionali». A rappresentare tali istanze, si annuncia in un post, l’avvocato Edoardo Polacco, che, sui propri canali social, promette di aiutare i cittadini a «difendersi con la legge in mano» in riferimento a «multe, app, vaccini, controlli».

Per partecipare all’iniziativa, che – viene spiegato nel gruppo – pare riguarderà primariamente la «tracciabilità con l’app» Immuni e «il vaccino obbligatorio», gli interessati sono invitati a entrare in un canale Telegram, dove, tra le altre cose, si organizza una raccolta di contributi volontari (si parla di 20 euro a testa) per avviare le azioni legali.

In altre piazze «virtuali», diversi cittadini multati per aver violato le disposizioni condividono le proprie esperienze e si scambiano consigli su eventuali ricorsi. Si prendono a modello le manifestazioni contro il lockdown organizzate in alcuni Stati americani. Circola anche un’immagine del premier Conte ammanettato e scortato dai Carabinieri, intitolata «Fase 3».

C’è persino un sito internet, che nella presentazione si descrive come «una provocazione per attirare attenzione e per far riflettere». «La sua creazione», si legge, è ispirata dalle «dichiarazioni di personaggi illustri nel mondo della ricerca medica e nel mondo del giornalismo di informazione alternativa che con dati e numeri alla mano dimostrano l’inconsistenza della Pandemia dichiarata dall’OMS e sostenuta dal Comitato Scientifico Nazionale»: e «se la Pandemia è davvero infondata, significa che una moltitudine globale è sotto restrizione e chiusa in casa» sulla base di un «infondato allarme».

E tra i contenuti condivisi, ci sono quelli, ancora una volta, del dott. Stefano Montanari e del dott. Shiva, noto in queste ore per aver diffuso teorie cospirazioniste sul lockdown negli Stati Uniti, descritto, in sintesi, come una manovra del «Deep State», di Big Pharma e dell’industria dei vaccini.

Dalle parole ai fatti, poi, il passo è piuttosto breve. In certi gruppi si invitano gli utenti a scendere in piazza fisicamente – violando quindi le misure di lockdown –, attraverso la creazione di alcuni eventi Facebook. Uno di questi eventi, previsto per ogni giorno tra il 15 e il 18 aprile scorsi e organizzato da «Popolo Libero Firenze», incoraggiava le persone a ritrovarsi «in tutte le piazze» in difesa «della costituzione e delle nostre libertà». «In uno stato di falsa pandemia, che ha comportato un abuso di potere e l’umiliazione di milioni di persone, uscire dalle nostre case», si legge, «oltreché un sacrosanto diritto è un dovere».

E se tale invito deve essere stato un flop, visto che gli interessati erano circa una decina di persone, maggiore circolazione stanno avendo altre iniziative previste per il 25 aprile, ribattezzato dagli utenti «il nuovo 25 aprile»: lungi dal ricordare la Liberazione dal nazifascismo, insomma, tra Facebook e Telegram ci si organizza per la liberazione dal lockdown e dalle restrizioni vigenti.

Diversi canali invitano gli utenti a scendere in strada alle ore 17 per «manifestare il nostro dissenso per la dittatura che ci hanno imposto». In uno di questi si avverte che, «a causa di troppi attacchi subiti dai soliti noti e troll, tutte le chat resteranno chiuse» e «verranno riaperte a sorpresa per darvi modo di organizzarvi». 

In effetti, nelle ultime ore il gruppo più frequentato è stato reso inaccessibile agli esterni. Qualcuno invita a indossare le mascherine, altri a portare la bandiera italiana, altri ancora a «munirsi di fischietti e megafoni». Ma c’è anche chi, pur condividendo il principio dell’iniziativa, è preoccupato che «uscire» voglia dire «dare l‘opportunità alle forze dell’ordine» di «utilizzare violenza contro la popolazione», o che facinorosi siano «pagati apposta» per trasformare una manifestazione pacifica in sommossa: e in quel caso, si suggerisce, si darebbe «al potete dittatoriale la scusa perfetta per farci stare a casa fino a Natale».

Facebook ha diritto a tutto di tutti e voi non avete diritto a un c...

 

I trasferimenti di dati verso gli USA dopo la sentenza “Schrems II”

Avv. Giovanni Vidal - Collaboratore Privacy.it

Pubblicato in data 12-08-2020

Uno spettro si aggira per l’Europa (e per gli Stati Uniti d’America): è lo spettro della  sentenza c.d. “Schrems II”, ovvero la sentenza del 16 luglio 2020 nella causa C-311/18, con cui la Corte di giustizia dell’Unione europea (“CGUE”)    ha dichiarata invalida la decisione di esecuzione (UE) 2016/1250 della Commissione europea del 12 luglio 2016, sull’adeguatezza delle tutele offerte dal regime del Privacy Shield, l’accordo UE-USA per la protezione dei dati personali oggetto di trasferimento transatlantico.

Nell’attuale contesto normativo, in particolare quello imposto dal Regolamento (UE) 2016/679 (GDPR), la sentenza è destinata ad avere un impatto profondo per tutti gli operatori coinvolti, non solo i grandi player dell’economia digitale (Facebook & co.) ed i fornitori più piccoli di servizi digitali, ma anche per le imprese europee che di tali fornitori tecnologici si avvalgono nell’ambito della propria attività economica.

1 – Il trasferimento di dati personali verso paesi terzi ai sensi del GDPR

Per poter analizzare nel dettaglio la sentenza “Schrems II” e comprenderne appieno il contenuto e le conseguenze pratiche, è necessario soffermarsi prima sulle disposizioni contenute nel Capo V del GDPR, che disciplina il trasferimento dei dati personali verso paesi terzi, vale a dire paesi al di fuori dell’Unione europea.

Il Capo V del GDPR contiene una serie di disposizioni che tengono conto di due esigenze all’apparenza contrapposte, ben sintetizzate – tra l’altro – nel considerando 101 del GDPR:

  • da un lato, i flussi di dati personali da e verso paesi al di fuori dell’Unione europea sono necessari per l’espansione del commercio internazionale e della cooperazione internazionale, e vanno quindi in un certo qual modo favoriti;
  • dall’altro, quando i dati personali sono trasferiti al di fuori dell’Unione, il livello di tutela delle persone fisiche assicurato nell’Unione dal GDPR non deve essere compromesso, considerando anche che la protezione delle persone fisiche con riguardo al trattamento dei dati personali è un diritto fondamentale ai sensi dell’art. 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (“Carta”).

Per cercare di conciliare tali due esigenze, il Capo V del GDPR prevede un meccanismo “scalare” costituito in primis dalle “decisioni di adeguatezza” (art. 45), dalle “garanzie adeguate” (art. 46) e dalle “deroghe in casi particolari” (art. 49), che vediamo meglio qui di seguito.

(i) 44 del GDPR

Il primo articolo del Capo V contiene una disposizione di carattere generale, in forza della quale qualunque trasferimento di dati personali oggetto di trattamento vero un paese terzo ha luogo solo se il titolare o il responsabile del trattamento rispettano quanto previsto dalle disposizioni previste dal Capo V, che sono applicate al fine di assicurare che il livello di protezione delle persone fisiche garantito dal GDPR non sia pregiudicato.

(ii) 45 del GDPR

L’art. 45 del GDPR ammette il trasferimento di dati personali verso un paese terzo se la Commissione europea ha deciso che tale paese terzo garantisce un livello di protezione adeguato, precisando altresì che in tal caso il trasferimento non necessita di autorizzazioni specifiche.

Nello svolgere tale valutazione, la Commissione deve prendere in considerazione diversi elementi, tra i quali:

  • lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la legislazione generale e settoriale, così come l’attuazione di tale legislazione, le norme in materia di protezione dei dati, la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento;
  • l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo, con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati, comprensiva di adeguati poteri di esecuzione;
  • gli impegni internazionali assunti dal paese terzo.

Dopo avere effettuato la valutazione dell’adeguatezza del livello di protezione sulla base degli elementi sopra descritti, la Commissione europea può decidere, mediante un atto di esecuzione (con un meccanismo di riesame periodico), che un determinato paese terzo, garantisce un livello di protezione adeguato.

L’ultimo paragrafo dell’art. 45 precisa che le decisioni della Commissione adottate ai sensi dell’art. 25, paragrafo 6, della Direttiva 95/46/CE (abrogata dal GDPR) restano in vigore sino a quando non sono modificate, sostituite o abrogate da una decisione della Commissione adottata ai sensi dell’art. 45: in sostanza, le decisioni relative all’adeguatezza di un paese terzo adottate in vigenza della precedente normativa in materia di protezione dei dati personali, continuano ad essere valide anche dopo l’entrata in vigore del GDPR.

(iii) 46 del GDPR

L’art. 46 prevede, al paragrafo 1, che, in mancanza di una decisione di adeguatezza della Commissione ai sensi dell’art. 45, il titolare o il responsabile del trattamento può trasferire dati personali verso un paese terzo solo se tale titolare o responsabile ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.

L’art. 46 prosegue elencando, al paragrafo 2, gli strumenti che possono costituire garanzie adeguate senza bisogno di autorizzazione da parte delle autorità di controllo, vale a dire:

  • uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche;
  • le norme vincolanti di impresa, vale a dire le politiche applicate ai trasferimenti di dati infragruppo, a condizione che siano approvate dalle autorità di controllo ai sensi del successivo art. 47 del GDPR;
  • le clausole tipo di protezione adottate dalla Commissione europea secondo la procedura di cui all’art. 93 del GDPR;
  • le clausole tipo di protezione adottate da un’autorità di controllo e approvate dalla Commissione;
  • un codice di condotta approvato ai sensi dell’art. 40 del GDPR;
  • un meccanismo di certificazione approvato a norma dell’art. 42.

Il successivo paragrafo 3 prevede che possono costituire garanzie adeguate, fatta salva l’autorizzazione dell’autorità di controllo, anche le clausole contrattuali tra titolare/responsabile del trattamento e titolare/responsabile del trattamento o destinatario nel paese terzo o le disposizioni da inserire in accordi amministrativi tra autorità pubbliche.

(iv) 49 del GDPR

In mancanza di una decisione di adeguatezza ai sensi dell’art. 45 o di garanzie adeguate ai sensi dell’art. 46 del GDPR, l’art. 49 ammette il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo soltanto se si verifica una delle seguenti condizioni:

  1. l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
  2. il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
  3. il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
  4. il trasferimento sia necessario per importanti motivi di interesse pubblico;
  5. il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
  6. il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
  7. il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri.

Qualora non fosse possibile basare il trasferimento su una disposizione degli articoli 45 o 46, e nessuna delle deroghe sopra elencate fosse applicabile, l’art. 49 del GDPR prevede che il trasferimento verso un paese terzo o un’organizzazione internazionale sia ammesso soltanto se non è ripetitivo, riguarda un numero limitato di interessati, è necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento, su cui non prevalgano gli interessi o i diritti e le libertà dell’interessato, e qualora il titolare e del trattamento abbiano valutato tutte le circostanze relative al trasferimento e sulla base di tale valutazione abbia fornito garanzie adeguate relativamente alla protezione dei dati personali.

*

Analizzate le norme del Capo V del GDPR che disciplinano il trasferimento dei dati personali verso un paese terzo, possiamo finalmente dedicarci alla sentenza.

 2 – La Sentenza “Schrems II”

2.1 Il Procedimento

La sentenza “Schrems II” è stata emessa a seguito di una denuncia presentata da Maximillian Schrems, un giovane attivista austriaco iscritto al social network Facebook dal 2008.

Nel 2013, il Signor Schrems presentò una prima denuncia al Data Protection Commissioner (vale a dire l’autorità di controllo irlandese in materia di protezione dei dati personali), chiedendo a quest’ultimo di vietare a Facebook Ireland (con cui chiunque risiede nell’Unione e intende utilizzare Facebook deve sottoscrivere un contratto) di trasferire i suoi dati personali a Facebook Inc., società con sede negli USA, sostenendo che la normativa e la prassi in vigore negli Stati Uniti non offrisse una protezione sufficiente dei dati personali.

La denuncia fu inizialmente respinta, in base al rilievo che la Commissione europea aveva constatato, nella sua Decisione 2000/520/CE del 26 luglio 2000, emessa a norma dell’allora vigente Direttiva 95/46/CE, che gli Stati Uniti garantivano un adeguato livello di protezione (si tratta dell’adeguatezza dei principi di approdo sicuro – Safe Harbor).

Successivamente, a seguito del ricorso presentato dal Signor Schrems, l’High Court irlandese aveva quindi proposto alla CGUE una domanda di pronuncia pregiudiziale relativa alla validità della Decisione 2000/520/CE e la Corte, con sentenza del 16 ottobre 2015 (la prima sentenza Schrems), ne aveva dichiarato l’invalidità.

In conseguenza della prima sentenza Schrems, il Data Protection Commissioner ha quindi riaperto le indagini scaturite dalla denuncia del Signor Schrems e, nell’ambito di tali nuove indagini, Facebook Ireland ha sostenuto che gran parte dei dati personali erano comunque trasferiti a Facebook Inc. sulla base delle clausole tipo di protezione contenute nell’allegato alla Decisione 2010/87/UE della Commissione del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il trasferimento dei dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della Direttiva 95/46/CE, come modificata nella Decisione 2016/2297/UE del 16 dicembre 2016 (“Decisione SCC”).

Quindi, secondo Facebook, l’invalidità dell’accordo Safe Harbor non avrebbe compromesso la legittimità dei trasferimenti dei dati personali negli Stati Uniti, che sarebbero comunque avvenuti sulla base delle clausole contrattuali tipo.

Il Signor Schrems ha quindi, il 1° dicembre 2015, riformulato la propria denuncia, sostenendo che il diritto statunitense imponesse a Facebook di rendere disponibili alle autorità (National Security Agency e FBI) i dati personali trasferiti e che tali dati venissero usati per programmi di sorveglianza incompatibili con la Carta.

Conseguentemente, secondo l’attivista austriaco la Decisione 2010/87/UE non avrebbe potuto giustificare il trasferimento dei dati verso gli Stati Uniti.

Il  31 maggio 2016, il Data Protection Commissioner, ritenendo che la denuncia del Signor Schrems, come sopra riformulata, sollevasse la questione di validità della Decisione 2010/87/UE relativa alle clausole contrattuali tipo, ha adito la High Court, la quale a sua volta, nel maggio 2018, si è rivolta nuovamente alla CGUE, sottoponendole la questione della validità di tale decisione, oltre ad altre questioni pregiudiziali.

Nel frattempo, qualche mese dopo la prima sentenza Schrems, il 12 luglio 2016, la Commissione, per superare le conseguenze dell’invalidità della Decisione relativa al Safe Harbor, aveva adottato la Decisione di esecuzione (UE) 2016/1250 sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (“Decisione Privacy Shield”).

La CGUE ha quindi dovuto giocoforza prendere posizione anche su alcune questioni pregiudiziali relative alla Decisione Privacy Shield ed alla validità.

Al termine del complesso procedimento che si è cercato di descrivere sopra in modo sintetico, lo scorso 16 luglio 2020, la CGUE ha finalmente emanato la sentenza in commento.

2.2 La Sentenza

Prima di entrare nel merito della vicenda, la CGUE:

  • ha respinto alcune eccezioni preliminari sollevate da Facebook Ireland e dai governi tedesco e del Regno Unito relativamente all’irricevibilità della domanda;
  • ha precisato che le questioni ad essa sottoposte dall’High Court devono essere decise alla luce del GDPR, e non della Direttiva 95/46/CE.

La CGUE si è quindi pronunciata sulle questioni pregiudiziali che le sono state sottoposte, alcune generali ed alcune specificamente riferite alla Decisione SCC ed alla Decisione Privacy Shield, come si cercherà di esporre quanto più sinteticamente possibile.

2.2.1 Alcune questioni pregiudiziali

La sentenza in commento, oltre a decidere in merito alla validità della Decisione SCC e della Decisione Privacy Shield, si è anche occupata di fornire alcuni importanti chiarimenti, sintetizzati qui di seguito.

  • In primo luogo, la CGUE ha chiarito che l’art. 2, paragrafi 1 e 2, del GDPR (che ne disciplina l’ambito di applicazione materiale) va interpretato nel senso che rientra nell’ambito di applicazione del GDPR un trasferimento di dati a fini commerciali da un operatore stabilito all’interno di uno stato membro verso uno stabilito in un paese terzo, nonostante, durante o dopo tale trasferimento, i suddetti dati possano essere sottoposti a trattamento da parte delle autorità del paese terzo.
  • La CGUE prosegue chiarendo che l’art. 46 va interpretato nel senso che le garanzie adeguate, i diritti azionabili e i mezzi di ricorso effettivi richiesti dal paragrafo 1 devono garantire che i diritti degli interessati i cui dati personali sono trasferiti verso un paese terzo sulla base di clausole tipo di protezione adottate dalla Commissione ai sensi del paragrafo 2, lettera c), godano di un livello di protezione non necessariamente identico, ma quantomeno sostanzialmente equivalente a quello garantito all’interno dell’Unione dal GDPR, interpretato alla luce della Carta. Per valutare il livello di protezione, si devono considerare sia le clausole contrattuali convenute tra titolare o responsabile del trattamento stabilito nell’Unione ed il destinatario stabilito nel paese terzo interessato, sia gli elementi rilevanti del sistema giuridico di tale paese terzo relativamente all’accesso delle autorità di tale paese ai dati personali trasferiti.
  • Nella sentenza in commento, la CGUE si occupa anche di chiarire la portata dell’art. 58, paragrafo 2, lettere f) e j), che, in relazione alle autorità di controllo, prevede che queste hanno, tra gli altri, il potere di imporre una limitazione provvisoria o definitiva al trattamento, compreso il divieto, e di ordinare la sospensione dei flussi di dati verso un paese terzo. Al riguardo, la CGUE ha chiarito che tale norma deve essere interpretata nel senso che – a meno che non esista una decisione di adeguatezza adottata dalla Commissione ai sensi dell’art. 45 del GDPR (come la Decisione Privacy Shield) – l’autorità di controllo competente è tenuta a sospendere o a vietare il trasferimento verso un paese terzo effettuato sulla base di clausole tipo di protezione adottate dalla Commissione (come nel caso della Decisione SCC), qualora tale autorità ritenesse, alla luce delle circostanze proprie di tale trasferimento, che tali clausole non siano o non possano essere rispettate in tale paese e che la protezione richiesta dal diritto dell’Unione non possa essere garantita con altri mezzi, nel caso in cui il titolare o il responsabile stabiliti nell’Unione non abbiano loro stessi sospeso o cessato il trasferimento.

2.2.2 Sulla Decisione SCC

La CGUE inizia quindi a entrare nel vivo, occupandosi in particolare della Decisione SCC, valutandone la validità.

Questo è uno dei passaggi più rilevanti della sentenza in commento e merita quindi di essere approfondito.

La CGUE inizia la propria analisi citando l’art. 1 della Decisione SCC, il quale dispone che le clausole tipo di protezione contenute nell’allegato alla stessa sono garanzie sufficienti per la tutela della vita privata, della libertà e dei diritti fondamentali delle persone. Al riguardo, la CGUE evidenzia che:

  • è pacifico che le clausole contrattuali, benché vincolino importatore ed esportatore, non possono vincolare le autorità del paese terzo, che non è parte del contratto;
  • pertanto, ci possono essere dei casi (a seconda del diritto e della prassi del paese terzo coinvolto) in cui quanto previsto in tali clausole potrebbe non essere sufficiente a garantire la protezione effettiva dei dati personali;
  • mentre una decisione di adeguatezza relativa ad un paese terzo ai sensi dell’art. 45 del GDPR (come la Decisione Privacy Shield) può essere adottata dalla Commissione solo se essa ha verificato che la normativa pertinente di tale paese terzo consenta di ritenere che essa garantisca una livello di protezione adeguato, nel caso di una decisione della Commissione che adotta clausole tipo di protezione dei dati (come la Decisione SCC), qualora essa non sia limitata ad un paese terzo in particolare, l’art. 46 non richiede che la Commissione debba svolgere una valutazione del livello di protezione garantito dai paesi terzi verso i quali potrebbero essere trasferiti i dati;
  • come previsto dall’art. 46, paragrafo 1, del GDPR, in mancanza di una decisione di adeguatezza della Commissione, è il titolare o il responsabile del trattamento stabilito nel territorio dell’Unione a dover fornire garanzie adeguate;
  • le clausole tipo di protezione adottate dalla Commissione (come quelle adottate dalla Decisione SCC) hanno il solo scopo di fornire ai titolari e responsabili stabiliti nel territorio dell’Unione garanzie contrattuali che si applicano uniformemente a tutti i paesi terzi, indipendentemente dal livello di protezione garantito in ciascuno di essi e quindi, in considerazione della situazione di un determinato stato, può essere necessario adottare misure supplementari per garantire il rispetto del livello di protezione richiesto dal diritto dell’Unione;
  • spetta al titolare o al responsabile del trattamento stabilito nel territorio dell’Unione (eventualmente in collaborazione col destinatario) verificare se il diritto del paese terzo garantisce una protezione adeguata in base al diritto dell’Unione, adottando, se necessario, misure supplementari;
  • nel caso in cui il titolare o al responsabile del trattamento stabiliti nel territorio dell’Unione non possano adottare misure supplementari sufficienti a garantire la protezione, essi (o in subordine l’autorità di controllo) sono tenuti a sospendere o a mettere fine al trasferimento;
  • il solo fatto che le clausole tipo previste nella Decisione SCC non vincolino le autorità dei paesi terzi non inficia la validità di tale decisione, validità che invece dipende dal fatto che la decisione stessa contenga meccanismi che consentano in modo efficace di garantire il livello di protezione richiesto dal diritto dell’Unione e che i trasferimenti basati su tali clausole siano sospesi o vietati in vaso di violazione di tali clausole o di impossibilità di rispettarle;
  • le clausole tipo di protezione contenute nell’allegato alla Decisione SCC contengono una serie di obblighi a carico delle parti, in particolare:
  1. impegno reciproco delle parti a far sì che il trattamento dei dati (compreso il loro trasferimento) sia effettuato in conformità alla normativa sulla protezione dei dati applicabile ai responsabili del trattamento nello stato membro in cui è stabilito l’esportatore (quindi in conformità al GDPR);
  2. il destinatario del trasferimento stabilito in un paese terzo deve certificare di non avere motivo di ritenere che la normativa ad esso applicabile gli impedisca di adempiere agli obblighi contrattuali, impegnandosi a comunicare al titolare qualsiasi modifica della normativa nazionale che possa pregiudicare le garanzie e gli obblighi di cui alle clausole tipo nonché della impossibilità a conformarsi agli obblighi di cui alle clausole tipo;
  3. il titolare stabilito nell’Unione ha il diritto (in realtà deve) di sospendere il trasferimento dei dati o risolvere il contratto nei casi indicati al precedente punto 2;
  • alla luce degli obblighi sopra descritti, le parti sono tenute ad assicurarsi che la legislazione del paese terzo di destinazione permetta al destinatario di conformarsi alle clausole tipo prima di procedere al trasferimento;
  • non sono in contraddizione con le clausole tipo le disposizioni di legge “che non vanno oltre quanto è necessario in una società democratica per salvaguardare, in particolare, la sicurezza dello stato, la difesa e la sicurezza pubblica”: se le disposizioni vanno oltre a quanto è necessario, vi sarebbe una violazione delle clausole tipo;
  • la valutazione della necessarietà o meno degli obblighi imposti dalla norma del paese terzo deve tenere conto dell’adeguatezza contenuta in una eventuale decisione ai sensi dell’art. 45 del GDPR;
  • la Decisione SCC non impedisce all’autorità di controllo competente, a meno che non esista una decisione di adeguatezza, di sospendere o vietare un trasferimento verso un paese terzo effettuato sulla base di clausole tipo, qualora l’autorità stessa ritenga che le clausole non possano essere o non siano rispettate in tale paese e che la protezione dei dati richiesta dal diritto dell’Unione non possa essere garantita, nel caso in cui titolare o responsabile stabiliti nell’Unione non abbiano sospeso o messo fine al trasferimento.

Alla luce del complesso ragionamento sopra descritto, la CGUE conclude che:

  • la Decisione SCC prevede meccanismi efficaci per garantire che il trasferimento dei dati personali verso un paese terzo in base alle clausole standard di cui all’allegato sia sospeso o vietato nel caso in cui il destinatario non rispetti o non possa rispettare tali clausole; e quindi
  • non vi sono elementi per inficiare la validità della Decisione SCC.

2.2.3 Sulla Decisione Privacy Shield

Siamo così arrivati al cuore della sentenza “Schrems II”, vale a dire la parte relativa alla Decisione Privacy Shield.

L’High Court irlandese aveva posto al riguardo alcune questioni pregiudiziali, ed in particolare:

  • se l’autorità di controllo di uno stato membro sia o meno vincolata dalle constatazioni contenute nella Decisione Privacy Shield;
  • se, considerando le constatazioni fatte dalla stessa High Court in merito al diritto USA, il trasferimento verso tale paese sul fondamento delle clausole tipo di protezione di cui alla Decisione SCC violi i diritti di cui agli 7, 8 e 47 della Carta, che sanciscono rispettivamente il diritto al rispetto della vita privata e familiare, il diritto alla protezione dei dati personali ed il diritto ad un ricorso effettivo e a un giudice imparziale;
  • se l’istituzione della figura del “mediatore” menzionato nell’allegato III alla Decisione Privacy Shield sia compatibile con l’art. 47 della Carta.

Come chiarito all’interno della sentenza, per poter dare una risposta completa al giudice del rinvio (l’High Court irlandese), la CGUE ha dovuto esaminare la conformità della Decisione Privacy Shield al GDPR, letto alla luce della Carta.

La sentenza, quindi, analizza in dettaglio il contenuto della Decisione Privacy Shield, evidenziandone, tra l’altro, i seguenti elementi:

  • come nel caso della decisione 2000/520/CE (Safe Harbor), anche la Decisione Privacy Shield sancisce il primato delle esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia rispetto ai principi relativi alla protezione dei dati sanciti nella stessa Decisione Privacy Shield, il che rende possibili ingerenze sui diritti fondamentali delle persone, derivanti dall’accesso da parte delle autorità USA ai dati personali trasferiti dall’Unione agli Stati Uniti;
  • la Commissione, nella Decisione Privacy Shield, ha quindi valutato le limitazioni e le garanzie previste dalla normativa statunitense, in particolare l’art. 702 del Foreign Intelligence Surveillance Act (FISA), che autorizza programmi sorveglianza PRISM e UPSTREAM, l’Executive Order (EO) 12333 e il Presidential Policy Directive (PPD) 28, in relazione all’accesso ai dati trasferiti negli USA e l’utilizzo degli stessi da parte delle pubbliche autorità statunitensi, constatando, all’esito di tale valutazione, che gli Stati Uniti si limitano a quanto strettamente necessario per conseguire l’obbiettivo legittimo ricercato, e che contro tali ingerenze esiste comunque una tutela giuridica efficace.

Tuttavia, la CGUE evidenzia che, in merito agli aspetti sopra menzionati, il giudice di rinvio invece ha dei dubbi rispetto alle conclusioni della Commissione, in quanto secondo l’High Court il diritto degli Stati Uniti non prevedrebbe garanzie e limitazioni rispetto alle ingerenze autorizzate dalla sua normativa nazionale né una tutela giurisdizionale effettiva, in quanto l’instaurazione del mediatore non rimedierebbe alle lacune dell’ordinamento USA.

La sentenza prosegue descrivendo i diritti fondamentali i cui agli art. 7 e 8 della Carta, precisando altresì che, ai sensi dell’art. 52, paragrafo 1, della Carta stessa, “eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà” e che nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui”.

La CGUE ha quindi esaminato la normativa statunitense sopra citata ed i relativi programmi di sorveglianza, alla luce di quanto previsto nella Carta, e nell’ambito di tali analisi ha rilevato che:

  • l’United States Foreign Intelligence Surveillance Court non autorizza singole misure di sorveglianza ma programmi di sorveglianza (ad esempio, PRISM e UPSTREAM) basati sull’art. 702 del FISA: il controllo di tale corte, quindi, non riguarda il fatto se la persona è un obbiettivo adatto a fornire informazioni di intelligence, ma solo se i programmi sono in linea con gli obbiettivi di intelligence;
  • conseguentemente, dall’art. 702 del FISA non risulta alcuna limitazione all’autorizzazione, né l’esistenza di garanzie per i cittadini stranieri e, conseguentemente, l’art. 702 del FISA “non è idoneo a garantire un livello di tutela sostanzialmente equivalente a quello garantito dalla Carta”;
  • sebbene la PPD-28 imponga alcuni limiti e requisiti ai programmi di sorveglianza fondati sull’art. 702 del FISA, che sarebbero vincolanti per i servizi di intelligence USA, lo stesso governo degli Stati Uniti ha ammesso, in risposta ad un quesito della Corte, che in realtà la PPD-28 non conferisce agli interessati diritti azionabili davanti ai giudici, con la conseguenza che la PPD-28 non è idonea a garantire un livello di protezione sostanzialmente equivalente a quello risultante dalla Carta, contrariamente a quanto previsto dall’art. 45, paragrafo 2, lett. a), del GDPR, che fa dipendere il livello di protezione anche dall’esistenza di “diritti effettivi e azionabili dagli interessati”;
  • in merito ai programmi di sorveglianza basati sull’EO 12333, nemmeno essi conferiscono diritti nei confronti della autorità azionabili davanti ai giudici;

La CGUE conclude quindi la sua analisi affermando in modo perentorio che nessuna delle norme sopra citate corrispondono ai requisiti minimi connessi, in base al diritto dell’Unione, al principio di proporzionalità, quindi i programmi di sorveglianza che si fondano su tali norme non si possono considerare limitati allo stretto necessario.

Conseguentemente, le limitazioni alla protezione dei dati personali derivanti dalla normativa interna USA, non corrispondono ai requisiti previsti dall’art. 52, paragrafo 1, della Carta.

La sentenza prosegue analizzando la figura del mediatore in relazione all’art. 47 della Carta.

A tal proposito, la CGUE contesta quanto sostenuto dalla Commissione nella Decisione Privacy Shield, secondo cui con l’istituzione del mediatore si poteva ritenere che gli Stati Uniti assicurassero un livello di protezione sostanzialmente equivalente a quello di cui all’art. 47 della Carta, con le seguenti convincenti argomentazioni:

  • il mediatore riferisce direttamente al Segretario di Stato, che lo nomina;
  • la Decisione Privacy Shield non contiene indicazioni in merito al fatto che il mediatore è autorizzato o meno a prendere decisioni vincolanti per i servizi di intelligence;
  • il meccanismo di mediazione non fornisce quindi mezzi di ricorso che offra garanzie sostanzialmente equivalenti a quelle di cui all’art. 47 della Carta.

Secondo la CGUE, dunque, nel sostenere, all’art. 1, paragrafo 1, della Decisione Privacy Shield, che gli USA assicurano un livello adeguato di protezione dei dati personali trasferiti dall’Unione verso organizzazione stabilite negli USA nell’ambito dello scudo Unione europea/USA, la Commissione ha disatteso i requisiti previsti dall’art. 45, paragrafo 1, del GDPR, letti alla luce degli articoli 7, 8 e 47 della Carta.

La conseguenza di quanto precede è che l’art. 1 della Decisione Privacy Shield, e quindi tutta la Decisione Privacy Shield che si fonda su tale art. 1, deve essere considerata invalida.

Infine, la CGUE rileva che l’annullamento della Decisione Privacy Shield non comporta alcuna lacuna normativa, visto che l’art. 49 del GDPR stabilisce a quali condizioni possono avvenire trasferimenti di dati personali verso paesi terzi quando manca una decisione di adeguatezza ai sensi dell’art. 45 del GDPR oppure mancano garanzie appropriate ai sensi dell’art. 46 del GDPR.

3 – Le conseguenze della sentenza

La sentenza Schrems II, in estrema sintesi, ha quindi:

  • annullato la Decisione Privacy Shield;
  • confermato la validità della Decisione SCC, precisando tuttavia che la stessa impone all’esportatore ed all’importatore dei dati l’obbligo di verificare, attraverso un audit/due diligence, prima di qualsiasi trasferimento, se nel paese terzo in questione sia rispettato un livello di protezione sostanzialmente analogo a quello garantito dal GDPR nell’Unione europea;
  • ha reso di fatto inutilizzabili le standard contractual clauses per legittimare i trasferimenti negli Stati Uniti, quantomeno per i destinatari/importatori che sono soggetti ai programmi di sorveglianza descritti in sentenza.

Rispetto a tale ultimo punto, va considerato – come correttamente evidenziato anche da Noyb, il team di legali che sta collaborando con Maximillian Schrems nella lunga battaglia giudiziaria che ha portato alla sentenza in esame (https://noyb.eu/it/prossimi-passi-le-aziende-dellue-faq) – che gran parte dei fornitori dei servizi cloud americani è sottoposto ai controlli ai sensi dell’art. 702 del FISA,  in quanto lo stesso si applica ai “electronic communication service provider”, che comprendono:

  • Providers of remote computing services,
  • Provider of electronic communication services,
  • Telecommunications carriers,
  • Any other communication service provider who has access to wire or electronic communications either as such communications are transmitted or as such communications are stored, and
  • any officer, employee, or agent of any such entity.

Considerando che, nella prassi, i trasferimenti di dati personali negli Stati Uniti si basano prevalentemente sull’adesione degli importatori al Privacy Shield (sono più di 5000 le imprese americane che vi hanno aderito) oppure sulle standard contractual clauses (oppure su entrambi, come spesso accede nel caso degli “Over-The-Top”)e che la sentenza, pur non affrontando il tema delle binding corporate rules, sembra di fatto renderle inutilizzabili per trasferimenti negli USA alla stregua delle SCC, è facile comprendere come la sentenza Schrems II abbia, in pratica, reso pressoché impossibile (o molto difficile) trasferire i dati negli Stati Uniti, quantomeno nella grande maggioranza dei casi, ovvero nei casi in cui l’importatore sia un “electronic communication service provider”.

È vero, infatti, come chiarito nella sentenza e confermato dell’European Data Protection Board (EDPB) nelle FAQ adottate il 23 luglio 2020 (trovate qui la versione in italiano), che è teoricamente possibile trasferire i dati agli Stati Uniti sulla base delle deroghe previste dall’art. 49 del GDPR.

Tuttavia, è altrettanto vero che tali deroghe sono di difficile o di limitata applicazione pratica; sul punto, si vedano anche qui le linee guida dell’EDPB relative all’49, che chiariscono che tale articolo può essere usato solo per trasferimenti occasionali e non ripetitivi.

Va inoltre considerato che costituisce trasferimento dei dati anche l’accesso ai dati effettuato a partire da un paese terzo, ad esempio per fini amministrativi, il che amplia ancor più i casi in cui la sentenza avrà delle conseguenze pratiche.

La sentenza Schrems II avrà quindi l’effetto di un vero e proprio terremoto su tutti i soggetti coinvolti, esportatori europei e importatori statunitensi, effetto che è in realtà immediato, considerando che, come precisato dall’EDPB nelle FAQ del 23 luglio 2020, non è previsto alcun periodo di grazia: i titolari del trattamento e (in caso di inerzia) le autorità hanno il dovere di agire per sospendere o vietare i trasferimenti di dati quando non dispongono di uno strumento giuridico valido per un trasferimento, incorrendo, in caso contrario, nelle sanzioni previste dal GDPR.

Peraltro, la sentenza è destinata ad avere effetti rilevanti anche per i trasferimenti verso paesi terzi diversi dagli Stati Uniti, in quanto chiarisce che le SCC – a differenza di quanto era ritenuto (a torto) da buona parte degli operatori – non comportano di per sé stesse un’automatica legittimità del trasferimento dei dati personali in un paese terzo, ma impongono alle parti di valutare il contesto normativo di tale paese (e di dare prova di tale valutazione) prima di effettuare il trasferimento.

È chiaro che ciò avrà dei pesanti impatti operativi.

4 – Conclusioni

Come detto, la sentenza Schrems II è destinata ad avere un impatto molto rilevante non solo per i grandi protagonisti della economia dei dati – come Facebook, Amazon, Apple, Microsoft, Salesforce, e Google – che potrebbero dover rivedere le proprie strategie e che (come già evidenziato in questo sito), tramite la Computer & Communications Industry Association, hanno già espresso le loro preoccupazioni al riguardo, ma anche per le imprese IT più piccole e per i titolari europei che si avvalgono di fornitori IT americani.

Tutto ciò potrebbe creare incertezza ed avere delle ripercussioni su tutti gli operatori economici, in molti casi già fortemente provati dalle conseguenze della pandemia da COVID-19.

Anche se le ragioni dell’azione iniziata da Max Schrems sono condivisibili e la sentenza della CGUE è coerente con l’impianto del GDPR e della Carta, ad avviso di chi scrive un’impresa non dovrebbe, da un giorno con l’altro, rischiare di subire le pesanti sanzioni previste dal GDPR per un comportamento che sino a pochi giorni fa era del tutto legittimo, come avvalersi di un fornitore IT americano che aderiva al Privacy Shield, considerando anche che la ricerca di un nuovo fornitore richiede certamente del tempo.

È quindi auspicabile che le autorità competenti pongano al più presto rimedio a questa situazione, fornendo soluzioni pratiche che possano venire incontro alle esigenze degli operatori economici, favorendo l’economia dei dati (che è uno dei pilastri del GDPR).

Come già scritto anche su queste pagine, una soluzione potrebbe essere proprio quella di rimpiazzare la Decisione Privacy Shield con un nuovo accordo tra la Commissione europea e le autorità statunitensi.

Peraltro, come indicato nella relazione della Commissione europea pubblicata il 24 giugno 2020 relativa ai primi due anni di applicazione del GDPR, la stessa Commissione era in  attesa della sentenza, subordinando all’esito della stessa la propria relazione in tema di decisioni di adeguatezza.

Proprio in questo contesto, lo scorso 10 agosto 2020 gli Stati Uniti e la Commissione hanno annunciato, in un comunicato stampa congiunto, di avere iniziato le trattative per un privacy shield migliorato al fine di adeguarsi alla sentenza “Schrems II”.

Tuttavia, un eventuale nuovo accordo, non dovrebbe prescindere da una effettiva e sostanziale riforma della normativa USA in materia di protezione dei dati, che difficilmente potrà avvenire, soprattutto in tempi brevi.

Diversamente, nel caso si trattasse di accordo semplicemente politico, non fondato sull’effettiva concessione agli utenti UE di un vero diritto di ricorso in caso di violazioni dei diritti dovute a un trattamento illecito dei dati da parte delle autorità statunitensi, sarebbe destinato a diventare nuovamente il (facile) bersaglio dell’agguerrito attivista austriaco, con il conseguente rischio concreto di avere una sentenza Schrems III, IV e così via, il che minerebbe la credibilità della Commissione e aumenterebbe le incertezze degli operatori.

I facebookkari italioti beoti

 Consumatori tedeschi vs. Facebook: la condanna del social network per violazione della normativa sul trattamento dei dati personali

Corte distrettuale di Berlino, 24 gennaio 2018

La Corte Regionale di Berlino ha condannato Facebook per violazione delle norme sul trattamento dei dati personali, in un’azione intrapresa dall’Associazione Nazionale dei Consumatori, dichiarando l’illegittimità di alcune clausole ed impostazioni di default del servizio, sulla base di una mancata acquisizione del consenso all’utenza. La sentenza, alla vigilia dell’entrata in vigore del Regolamento sulla Protezione dei Dati Personali, afferma importanti principi su privacy e consenso, in linea con le indicazioni del legislatore europeo.

 

Sommario: 1. Introduzione. – 2. Impostazioni di default e consenso. – 3. Termini e condizioni d’uso. – 4. «Facebook è gratis e lo sarà sempre»

 

  1. Introduzione

Lo scorso 28 gennaio, la Corte Regionale Tedesca con sede a Berlino ha, in prima istanza, condannato il noto social network per la violazione della normativa nazionale in materia di trattamento dei dati personali[1], oltre che della disciplina relativa alle condizioni di servizio a tutela del consumatore, in relazione ad alcune clausole ed impostazioni di default, in quanto funzionali a eludere le norme sull’acquisizione del consenso.

La sentenza, pubblicata alla vigilia dell’applicazione del nuovo Regolamento sulla Protezione dei Dati Personali (GDPR), arriva al termine di una battaglia legale durata più di due anni, intrapresa dall’Associazione dei Consumatori Tedeschi (Verbraucherzentrale Bundesverband – VZBV), e stabilisce importanti principi sulle modalità di acquisizione del consenso per il trattamento dei dati personali, oltre che sulla liceità di alcuni fra i più noti termini del servizio.

La Corte ha valutato la compatibilità delle clausole e impostazioni contestate con la vigente normativa, accogliendo circa la metà delle doglianze attoree, constatando in particolare:

  • la violazione della normativa sul trattamento dei dati e delle norme per l’acquisizione del consenso, in relazione ad alcune impostazioni di default;
  • la violazione delle norme sull’equità di termini e condizioni, in relazione ad alcune clausole inserite nella policy di Facebook, fra cui la clausola che impone agli utenti l’utilizzo del loro vero nome;
  • la liceità dello slogan «Facebook è gratis e lo sarà sempre».

 

  1. Impostazioni di default e consenso

La Corte ha innanzitutto dichiarato invalide cinque clausole di default inserite nelle impostazioni del noto social network, sulla base di una mancata acquisizione del consenso informato all’utenza. Fra queste, un’impostazione pre-attivata nell’applicazione mobile che rileva la localizzazione degli utenti durante le chat ed una casella preselezionata nelle impostazioni privacy, che autorizza il collegamento della Timeline dell’utente a motori di ricerca esterni, rendendo in questo modo i profili facilmente accessibili tramite una semplice ricerca web.

Secondo la legge federale tedesca sulla protezione dei dati, che traspone la Direttiva Europea (Direttiva 95/46/CE), i dati personali possono essere raccolti e processati solo con il consenso dell’utente, e tale consenso dovrà essere ovviamente «informato», e basato su una policy chiara ed accessibile con riferimento a natura, scopo e finalità del trattamento. Nel caso di specie, la Corte ha rilevato come tali impostazioni di default non possano costituire una lecita modalità di acquisizione del consenso, in quanto non forniscono informazioni chiare e complete sul trattamento dei dati personali degli utenti quando questi accedono ed utilizzano la piattaforma; pertanto, secondo la Corte tedesca gli utenti non essendo effettivamente consapevoli delle modalità di trattamento dei dati che forniscono a Facebook, sono indotti a prestare un consenso «disinformato», che non può ritenersi conforme ai requisiti della normativa vigente, e l’ utilizzo continuato del servizio, sottolinea ancora la Corte, può essere considerato alla stregua di un implicito consenso[2].

La posizione della Corte sull’acquisizione del consenso risulta perfettamente in linea, oltre che con la vigente normativa europea, con il nuovo GDPR,  applicabile dal 25 maggio 2018. Il nuovo articolo 4 n. 11 infatti, definisce il consenso come «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento». La normativa specifica ancora, al Considerando 32, che il consenso debba essere espresso «mediante un atto positivo inequivocabile», escludendo invece tassativamente «il silenzio, l’inattività o la preselezione di caselle». Sul punto insiste anche il parere del Gruppo di Lavoro ex art. 29 della direttiva 95/46/EC[3], che sottolinea ancora una volta l’importanza della manifestazione chiara ed inequivocabile del consenso, e precisa come l’utilizzo di caselle pre-selezionate sia invalido sulla base del Regolamento e come il silenzio o l’inattività da parte dell’utente, insieme con la mera continuazione nell’utilizzo del servizio, non possano essere considerate quali indicazioni attive di un consenso.

 

  1. Termini e condizioni d’uso

Lo scrutinio della Corte tedesca ha colpito inoltrealcune clausole presenti nei Termini e Condizioni del servizio (otto per la precisione), ed in particolare una clausola che autorizza il trasferimento di dati personali negli Stati Uniti ed un consenso pre-formulato all’utilizzo di nomi e foto profilo degli utenti per finalità commerciali, incluse profilazione e marketing. La Corte ha in particolare accolto le doglianze attoree, ritenendo che tali «dichiarazioni preformate» non possono costituire un «effettivo consenso» al trattamento dei dati, in quanto questo risulta «inquadrato in modo troppo vago».

Uno degli aspetti della sentenza che ha sicuramente destato più attenzione mediatica, è la  dichiarazione di invalidità della clausola che permette agli utenti di registrarsi solo utilizzando il vero nome e cognome; tale pronuncia ha infatti destato delle perplessità, anche alla luce della recente normativa tedesca, entrata in vigore lo scorso gennaio, volta alla repressione di reati ed abusi commessi online attraverso social network, che prevede importanti sanzioni per la diffusione su tali piattaforme di hate speach e fake news  Secondo il giudicante tedesco, una clausola che condiziona la registrazione e l’utilizzo di un servizio all’uso del vero nome dell’utente, e non permette invece la registrazione sotto pseudonimi o anche in forma anonima, deve essere dichiarata invalida, poiché ritenuta una «modalità celata» di acquisizione del consenso al trattamento dei dati, in quanto l’utente, al fine di utilizzare i servizi offerti da Facebook, non ha altra scelta che fornire i propri dati personali, essendogli invece precluso un utilizzo in forma anonima o pseudonima

L’associazione dei consumatori aveva in realtà sostenuto, davanti alla Corte, che tale clausola fosse in contrasto con la normativa domestica sulle telecomunicazioni[4], che prevede invece l’obbligo per i service providers di permettere anche l’utilizzo anonimo (o sotto pseudonimo) ai propri utenti; la Corte tuttavia si è limitata a riconoscere l’illegittimità della clausola per viziata acquisizione del consenso, senza invece pronunciarsi sulla compatibilità con la suddetta normativa.

La decisione tedesca, offre qui alcuni interessanti spunti di riflessione.

Innanzitutto, la policy del «real name» che al più consente l’uso di diminutivi, abbreviativi o vezzeggiativi, di fatto permette a Facebook di raccogliere dati reali e precisi sui propri utenti, anche per successivi trattamenti, e di esercitare su questi un controllo in maniera molto più agevole.

In questo senso, è stato osservato come tale policy potrebbe risultare incompatibile con il nuovo principio di minimizzazione dei dati previsto dal GDPR (art. 5, c. 1, lett. c), che impone che i dati personali siano «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati»[5]. Qualora si adotti questo approccio, e si consideri dunque non strettamente necessario fornire il vero nome e cognome al fine di fruire dei servizi di un social network, si dovrebbe riconsiderare la compatibilità con la imminente normativa, anche delle clausole di altri servizi che subordinano la registrazione a questo requisito.

Sotto un diverso profilo, invece, tale sentenza andrebbe letta anche alla luce sopra citata legge tedesca sull’hate speech, entrata in vigore solo pochi mesi fa, che si rivolge nello specifico ai maggiori social media e prevede importanti sanzioni per la mancata pronta rimozione (entro 24 ore) di contenuti manifestamente illeciti. Quali contenuti costituiscano effettivamente hate speech rimane impossibile da stabilire a priori, e proprio questo aspetto della normativa ha attirato diverse critiche da parte di coloro che ravvisano in una tale rigida disciplina una minaccia alla libertà di espressione online. In questo senso dunque, la registrazione tramite real name sarebbe rilevante in termini di accountability e di enforcement della disciplina in materia di diffamazione, permettendo a Facebook (insieme agli altri maggiori social network interessati dai nuovi obblighi), un più agevole controllo sull’utenza e facilitando, dunque, l’identificazione in caso di illeciti.

Tale policy, dunque, si porrebbe all’interno del dibattito fra coloro che vedono l’anonimato su internet quale garanzia non solo della privacy, ma anche della libertà di espressione, da un lato[6], e la necessità di assicurare un’accountability degli utenti nei confronti della comunità, dall’altro, anche in relazione alle nuove e più stringenti norme su diffamazione online e sull’ hate speech. La Corte tedesca, tuttavia, come già accennato, evita di entrare nel merito della questione, dichiarando a priori la clausola invalida sulla base di una viziata acquisizione del consenso.

 

  1. «Facebook è gratis e lo sarà sempre»

Gli attori avevano infine contestato al Social Network il suo ben noto slogan «Facebook è gratis e lo sarà sempre» quale forma di pubblicità ingannevole, in quanto gli utenti, seppure effettivamente non corrispondono una somma in denaro per l’utilizzo del servizio, pagano comunque con una diversa «valuta», ovvero i propri dati personali, che Facebook utilizza per finalità di marketing e pubblicitarie. La Corte tedesca ha tuttavia considerato la clausola valida, sulla base della considerazione che un “bene intangibile” come lo sono i dati, non può essere considerato un costo effettivo, e dunque, di conseguenza, lo slogan del sito non trae in inganno gli utenti.

La posizione della Corte sul punto è abbastanza anomala, e controcorrente rispetto al trend generale delle Corti ed Autorità nazionali, che invece considerano i data quali veri e propri asset economici, soprattutto in relazione ai grandi colossi del web, quali Facebook e Google, che hanno consolidato nel tempo il loro potere di mercato proprio grazie ai dati degli utenti, e ovviamente basano su questi anche la maggior parte delle loro revenues.

In questo senso si inserisce, ad esempio, la posizione dell’Autorità Garante per la Concorrenza tedesca, che sta attualmente indagando su un presunto abuso di posizione dominante di Facebook nel mercato dei social media, ritenendo appunto come il potere di mercato di Facebook derivi proprio dalla quantità (e qualità) di dati da questo detenuti; in particolare, l’Ufficio Antitrust Federale ha recentemente presentato i risultati preliminari di un’indagine durata più di 20 mesi, nei quali ha concluso che Facebook ha abusato di una posizione dominante tra i social network ottenendo l’accesso a dati di terze parti, attraverso WhatsApp e Instagram, nonché tramite il monitoraggio delle attività degli utenti sul web.

Allo stesso modo anche la Commissione Europea[7], che ha avuto modo di pronunciarsi proprio sull’acquisizione dell’applicazione di messaggistica istantanea da parte di Facebook, ha pacificamente riconosciuto come i dati personali e le preferenze degli utenti abbiano un valore economico concreto e siano oggetto di importanti scambi commerciali , specialmente per aziende come Facebook, e che dunque i dati che gli utenti forniscono, seppure non siano beni tangibili, hanno natura di controprestazione non pecuniaria, dal cui sfruttamento queste aziende ricavano importanti guadagni.

Nonostante questa sentenza porti con sè importanti implicazioni con riguardo al trattamento dei dati e all’acquisizione del consenso da parte dei social network, la situazione è ancora in divenire, ed entrambe le parti hanno manifestato l’intenzione di procedere in appello. Non resta dunque che attendere il contributo del Giudice di secondo grado che dovrà, chiaramente, pronunciarsi sulle questioni sulla base del nuovo Regolamento, direttamente applicabile dal 25 maggio.

[1] Legge federale sulla protezione dei dati personali, (Bundesdatenschutzgesetz – BDSG).

[2] https://www.williamfry.com/newsandinsights/news-article/2018/02/21/german-court-finds-facebook-default-settings-unlawful

[3] Gruppo di Lavoro ex art. 29; Linee guida sul Consenso, 10 Aprile 2018

[4] German Telemedia Act, Sezione 13 n. (6)

[5] D. Stella e N. Casazza, GDPR: Facebook condannata per violazione della privacy e della normativa a tutela dei consumatori, 2018

[6] Sul punto, l’opinione del Consiglio d’Europa nella Guida dei Diritti Umani per gli Utenti Internet nella quale si afferma come il principio dell’anonimato abbia lo scopo di «garantire una protezione contro la sorveglianza online e favorire la libertà di espressione» e in ciò, gli Stati membri dovrebbero rispettare la volontà degli utenti di Internet di non rivelare la loro identità, principio che va ovviamente bilanciato con la necessità di adottare misure per rintracciare gli autori di atti criminali, conformemente alle normative nazionali e comunitarie; vedi Raccomandazione CM/Rec(2014)6

[7] Caso N. COMP/M. 7217-Facebook/Whatsapp

Lettera aperta al signor Luigi di Maio, deputato del Popolo Italiano

ZZZ, 04.07.2020 C.A. deputato Luigi di Maio sia nella sua funzione di deputato sia nella sua funzione di ministro degli esteri ...