La Corte di Giustizia Europea si è pronunciata in relazione al regime giuridico del social network, nella causa C-362/14 Maximillian Schrems/Data Protection Commisioner.
Il caso è quello del sig. Schrems cittadino austriaco, utente di facebook dal 2008, che in riferimento afacebbok, presentava denuncia all’autorità irlandese di controllo, poiché riteneva alla luce delle rivelazioni fatte dal sig. Snowden sulle attività dei servizi di intelligence, negli USA non fosse offerta una tutela adeguata dei dati trasferiti verso tale paese.
La predetta autorità irlandese respingeva la denuncia poiché nel 2000 la Commissione Europea aveva ritenuto che gli Stati Uniti, nel regime di “safe harbor” (rapporto sicuro), fossero garanti in maniera adeguata dei dati personali trasferiti.
A seguito della detta decisione l’Alta Corte di Giustizia Irlanese, si rivolgeva alla Corte di Giustizia Europea per sapere se effettivamente la decisione della Commisione possa impedire ad una autorità nazionale di indagare in merito ad una denuncia nella quale si lamenta che un paese non membro non avrebbe un livello di protezione dati adeguato.
La Corte di Giustizia chiariva che una decisione della Commissione non può annullare o ridurre i poteri di cui dispongono le autorità nazionali di controllo in forza della Carta dei diritti fondamentali dell’UE e della direttiva. Ma chiariva altresì che è solo la stessa Corte di Giustizia a poter invalidare una decisione della Commissione.
Pertanto le autorità nazionali non possono fare altro che rinviare la causa davanti alla Corte di Giustizia.
Conseguentemente la Corte di Giustizia, in merito al caso Schrems, pronunciava, che la decisione della Commissione del luglio 2000, effettivamente, non constatava se gli USA garantissero effettivamente, in considerazione della loro legislazione nazionale, un livello di protezione dei dati personali equivalente nella sostanza a quello garantito nell’Unione a norma della direttiva, ma si limitava a esaminare il regime dell’approdo sicuro. Infatti la Corte rilevava che tale regime era applicabile esclusivamente alle imprese americane sottoscriventi, mentre non vi sarebbero assoggettate le Autorità Pubbliche degli Stati Uniti.
Appare dunque evidente, a parere della Corte di Giustizia che il regime americano dell’approdo sicuro potrebbe rendere possibili ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali, inoltre la decisione della Commissione non menzionerebbe l’esistenza negli Stati Uniti, di norme intese a limitare tali ingerenze, né una tutela giuridica efficace contro di esse.
Ad avviso della Corte sarebbe inaccettabile che a livello di Unione vi sia una norma che autorizzi la conservazione dei dati personali delle persone i cui dati sono trasferiti dall’Unione agli USA, senza alcun tipo di limitazione, finalità o criteri, pertanto sarebbe un sistema normativo lesivo del diritto fondamentale al rispetto della vita privata.
Da ciò la Corte di Giustizia dichiarava l’invalidità della decisione della Commissione del 26 luglio 2000.
Come conseguenza deriva che l’autorità irlandese di controllo dovrà esaminare la denuncia presentata da Schrems e decidere se in forza della direttiva, sarà necessario sospendere il trasferimento dati degli utenti facebook europei verso gli USA perché tale paese non consentirebbe un’adeguata protezione.
Tale concezione trova il suo fondamento nel principio di necessità consacrato dall’art. 3 del Codice di protezione dei dati personali, inteso nella necessità di ricorrere all’utilizzo del dato personale solo in casi estremi e nella necessità di strutturare i servizi che utilizzano nuove tecnologie in modo tale da garantire il rispetto della riservatezza utenti.