La commissione Libertà civili, Giustizia e Affari interni (LIBE) del Parlamento europeo ospita il 26 ottobre un dibattito in merito alle conseguenze della sentenza della Corte di Giustizia C-362/14, Schrems, che ha pregiudicato gli effetti della Decisione 520/2000 della Commissione con la quale quest’ultima, riconoscendo nella disciplina americana per il trattamento dei dati personali (c.d. principi Safe Harbour) una tutela adeguata dei dati sensibili, ne consentiva il libero trasferimento verso gli USA (rendeva cioè impossibile per un privato opporvisi).
Stato dell’arte. La Direttiva 95/46 sulla protezione dei dati personali conferisce alla Commissione una competenza all’esecuzione in comitologia (art. 25, par. 6; art. 31) per l’individuazione dei Paesi extra-UE per i quali autorizzare la libera trasmissione dei dati. Allo scopo, istituisce un gruppo di lavoro (art. 29) che valuti l’adeguatezza del regime di protezione, monitorandone altresì l’evoluzione ad intervalli regolari. Con la Decisione 520/2000 la Commissione sancì che la tutela dei dati negli USA era tale da consentirne la libera trasmissione nel territorio nordamericano.
Effetti della sentenza. La sentenza consegue ad un rinvio pregiudiziale da parte di un tribunale irlandese; pertanto non annulla la Decisione ma ne pregiudica gli effetti, giacché un privato – al pari del sig. Schrems, parte in causa – potrà chiedere alle Autorità Garanti nazionali che venga impedita la trasmissione dei propri dati verso gli USA, poiché non può (più) presumersi che Washington offra una tutela equivalente. La Commissione e il gruppo di lavoro “Art. 29”, in due separate conferenze stampa, si sono impegnati ad una stretta collaborazione per evitare divergenze interpretative da parte delle singole Autorità, chiamate ad un lavoro comune per scongiurare la frammentazione del diritto in tale settore.
La Commissione si accinge ad esporre le linee guida della strategia da seguire. L’obiettivo è, con ogni verosimiglianza, ricomporre un quadro giuridico unitario dei rapporti UE-USA quanto alla trasmissione di dati personali, o almeno limitare le conseguenze della dissoluzione del suo valore vincolante. Formalmente la Decisione 520 è ancora valida, benché di fatto inefficace: la revoca o la modifica di tale atto costituiscono probabilmente un passaggio obbligato.
Fino ad oggi la Commissione ha avuto modo di sottolineare più volte, nei Documenti prodotti, le criticità del Safe Harbour, ma non ha mai proposto la revoca. Secondo il diritto dell’UE, poiché la Decisione 520 poggia su di una base giuridica secondaria – trattandosi di un atto esecutivo fondato sul diritto derivato – per revocarla o modificarla occorrerebbe una nuova abilitazione all’esecuzione da parte dei co-legislatori, che modifichi in parte qua la Direttiva 94; in mancanza, la Commissione può avviare la procedura prevista dalla Direttiva medesima (art. 31). Giuridicamente sostenibile, tale ipotesi apparirebbe forse come una presa di posizione frontale della Commissione contro gli USA, politicamente scomoda in una materia tanto sensibile. Si noti che l’istruttoria a monte della Decisione 520 ha incluso ben 6 pareri del gruppo di lavoro “Art. 29” più un documento istruttorio della Commissione stessa; indizio del fatto che i canali informali esercitavano sulla Commissione una certa pressione, discreta ma poco resistibile, affinché l’accordo andasse a buon fine. Eventuali revisioni o modifiche necessiteranno dunque di una legittimazione assai solida; solo se la Commissione riceverà rassicurazioni in tal senso dal Parlamento e dagli Stati potrà considerare l’avvio della procedura. Diversamente, il rischio di non raggiungere le maggioranze previste dalla Direttiva 94 la esporrebbe ad un duplice fallimento: venendole a mancare l’appoggio politico in uno ai “numeri” per il perfezionamento della fattispecie procedimentale, la Commissione si troverebbe “scoperta” in modo irrimediabile, mancando l’obiettivo di facilitare la ricostruzione di un quadro giuridico unitario per la trasmissione dei dati UE-USA.