Nella recente decisione del 12 maggio 2023, la Data Protection Commission irlandese torna nuovamente sul tema, dopo la lunga vicenda Schrems, dell’illecito trasferimento transfrontaliero operato da Meta dei dati personali degli utenti dell’UE e dello SEE verso gli Stati Uniti, in violazione del diritto UE. Tale decisione si presta a molteplici chiavi di lettura, che riportano in auge, da un lato, il ruolo centrale delle autorità amministrative indipendenti, in particolare, nell’ambito della regolazione del mercato digitale, e offrono, dall’altro lato, l’occasione per misurare la sempre più pregnante integrazione tra i diritti nazionali e il diritto UE in materia amministrativa. D’altronde, è proprio sul terreno della regolazione del mercato digitale che si registra la più ampia distanza tra il diritto statunitense e il diritto UE, le cui norme, sulla scorta del Brussels Effect, ambiscono a diventare global rules.

Estratto

“9.110. It is not disputed that the views expressed by the DPC in the Draft Decision are not consistent with the outcome recorded in this Decision. It stands to reason that, in giving effect to the binding determination of the EDPB, that the DPC must amend the positions previously reflected in the Draft Decision that are not consistent with the determinations made by the EDPB so that this Decision may be adopted “on the basis of” the Article 65 Decision, as required by Article 65(6) GDPR.”

“9.111. Having taken account of Meta Ireland’s Final Submissions, I remain of the view that an administrative fine of an amount falling with the range of €1.2 billion and €1.5 billion ought to be imposed in respect of the infringement of Article 46(1) GDPR […].”

“9.115. […] The ability, on the part of the parent company, to exercise decisive influence over the subsidiary’s behaviour on the market, means that the conduct of the subsidiary may be imputed to the parent company, without having to establish the personal involvement of the parent company in the infringement.”

“9.119 […] in a case where a company holds all or almost all of the capital of an intermediate company which, in turn, holds all or almost all of the capital of a subsidiary of its group, there is also a rebuttable presumption that that company exercises a decisive influence over the conduct of the intermediate company and indirectly, via that company, also over the conduct of that subsidiary.”

“10.1 Having regard to the provisions of Section 111 of the 2018 Act, and for the reasons set out in this Decision, I find that: (i) US law does not provide a level of protection that is essentially equivalent to that provided by EU law; (ii) Neither the 2010 SCCs nor the 2021 SCCs can compensate for the inadequate protection provided by US law; (iii) Meta Ireland does not have in place supplemental measures which compensate for the inadequate protection provided by US law; and, (iv) It is not open to Meta Ireland to rely on the derogations provided for at Article 49(1) GDPR, or any of them, when making the Data Transfers.”

“10.2 Accordingly, I find (and it is my decision that), in making the Data Transfers, Meta Ireland is infringing [continua..]

SOMMARIO:

1. Introduzione: un casus belli (ormai) decennale - 2. La decisione della Data Protection Commission tra vecchie e nuove prospettive del diritto amministrativo - 2.1. Sulla natura giuridica della Data Protection Commission e sul­l’esercizio dei suoi poteri correttivi - 2.2. Sulla procedura di decisione ex articolo 65 RGDP - 3. La distanza tra il diritto dell’Unione europea e il diritto statunitense in materia di protezione dei dati personali - 4. Conclusione: verso la creazione di global rules - NOTE

1. Introduzione: un casus belli (ormai) decennale

Con la Decision del 12 maggio 2023, la Data Protection Commission irlandese, per mano della Data Protection Commissioner Helen Dixon, segna, anche se forse solo provvisoriamente, l’epilogo di una lunga e intricata controversia, che porta nuovamente in auge il tema, mai sopito, dell’illiceità del trasferimento transfrontaliero verso gli Stati Uniti e operato da Meta Platforms, Inc. (già Facebook, Inc.) dei dati dei cittadini dell’Unione europea e, più in generale, dello Spazio economico europeo (SEE). Questa decisione è, nel momento in cui si scrive, l’ultimo, ma non necessariamente il definitivo, atto della vicenda, che trae le sue origini dalle rivelazioni di Edward Snowden sulle modalità di sorveglianza di massa operate dagli Stati Uniti attraverso il trattamento dei dati personali trasferiti dall’Unione europea, che ha a sua volta originato i noti procedimenti dinnanzi alla Corte di Giustizia Schrems I (2015) e Schrems II (2020) [1]. Sia consentito richiamare qui, senza alcuna pretesa di completezza, alcuni passaggi fondamentali di questa saga, per meglio inquadrare il contesto in cui è stata resa la decisione dell’Autorità irlandese. Il caso Schrems I prende le mosse dall’istanza di Maximillian Schrems, cittadino austriaco, presentata alla Data Protection Commission irlandese, e volta a impedire il trasferimento dei propri dati personali verso gli Stati Uniti. Dopo avere ottenuto il rigetto della propria domanda, il Sig. Schrems presentò ricorso dinnanzi all’High Court of Justice, nelle more del cui giudizio venne sollevato un rinvio pregiudiziale ex art. 267 TFUE sulla compatibilità con gli artt. 7, 8 e 47 della Carta dei Diritti fondamentali della decisione della Commissione Europea 2000/520, altrimenti nota come Safe Harbour Decision, adottata in virtù dell’art. 25, par. 6, della direttiva 1995/46/CE. Tale norma consentiva alla Commissione di constatare che uno Stato terzo garantisce un livello adeguato di protezione dei dati personali in considerazione della sua legislazione nazionale ovvero degli impegni internazionali da questo assunti [2]. Tale livello di adeguatezza doveva misurarsi, tra l’altro, sulla base della natura dei dati, delle finalità del loro trattamento e delle norme giuridiche adottate dallo Stato terzo [3]. Ebbene, nel caso di specie, la Commissione, per il tramite della Safe [continua ..]

2. La decisione della Data Protection Commission tra vecchie e nuove prospettive del diritto amministrativo

Accanto all’intricata vicenda, cui si è fatto cenno, e di cui la decisione della Data Protection Commission costituisce solo uno dei diversi passaggi, occorre volgere l’attenzione anche verso il ruolo giocato dall’Autorità irlandese, in quanto ben evidenzia profili di peculiare interesse, in particolare per il diritto amministrativo e per il diritto della regolazione in generale, che, pur inquadrandosi in una tradizione ormai consolidata, aprono a valvole di ampio respiro, nazionale e sovranazionale. Il cammino già tracciato è quello delle autorità amministrative indipendenti, altrimenti note come agencies, tra le quali si iscrive appunto la Data Protection Commission (2.1). Eppure, d’altra parte, si apprezza una significativa novità, di grande apertura degli ordinamenti nazionali degli Stati membri, e, segnatamente, delle loro pubbliche amministrazioni, chiamate appunto a svolgere la propria attività decisoria in materia di protezione dei dati personali seguendo il peculiare modello di cui all’art. 65 RGDP, espressione di un’amministrazione sempre più intrecciata, che manifesta l’emersione di un diritto amministrativo dell’Unione europea in via di graduale consolidamento (2.2).

2.1. Sulla natura giuridica della Data Protection Commission e sul­l’esercizio dei suoi poteri correttivi

Lo sviluppo maggiormente significativo delle autorità amministrative indipendenti coincide, come noto, con la stagione delle politiche di liberalizzazione e di privatizzazione avviate dai governi di Reagan e della Thatcher negli anni ’80 del secolo scorso, che si è poi esteso nei Paesi dell’Europa continentale occidentale [14]. Tale crescita ha imposto numerose riflessioni alla scienza giuridica, anche di carattere dogmatico, a partire dall’impatto delle agencies sulla separazione dei poteri. È stato efficacemente evidenziato come, nel tentativo di superare la classica tripartizione montesquieuiana, tali autorità si siano concretate in una vera e propria «fourth branch of government», scardinando dunque la classica e netta divisione dei poteri dello Stato, [15] posto che, da un lato, sono del tutto indipendenti dal Governo, mentre, dall’altro, soffrono di un deficit di legittimazione democratica data l’usuale estrazione tecnica, più che politica, dei loro componenti [16]. Da un punto di vista teorico, nell’ordinamento giuridico italiano, ma con riflessioni che possono essere agevolmente predicate anche per gli altri ordinamenti statali, è sintomatico di questo superamento l’istituto della delega, che viene conferita dal legislatore nazionale a tali autorità, per regolare tutti quei mercati, come quello digitale, connotati da una continua e repentina evoluzione, e per i quali la legge, generale e astratta per definizione, non sarebbe sufficientemente efficace [17]. Tale delega è in tanto definita in bianco, in quanto riconosce sovente alle autorità indipendenti poteri amministrativi impliciti, vale a dire «[…] ricavabili da norme che definiscono soltanto lo scopo da perseguire senza una specificazione dei presupposti e dei requisiti per l’esercizio del potere» [18]. Lo scopo del legislatore, stante «[…] l’impossibilità di prefigurare tutti i possibili casi presenti e futuri che possono verificarsi nella realtà» [19], è dunque quello di individuare, anche a spese del principio di legalità sostanziale ex art. 1, comma 1, legge 7 agosto 1990, n. 241, autorità amministrative indipendenti con competenze tecniche necessarie per emanare provvedimenti amministrativi destinati a incidere sui settori di loro competenza, normalmente [continua ..]

2.2. Sulla procedura di decisione ex articolo 65 RGDP

Tra le sue disposizioni, il RGDP contiene un articolato normativo di particolare rilevanza per i temi qui evidenziati, che si estrinseca nel Capo VII sulla Cooperazione e coerenza. In particolare, l’art. 60 RGDP individua una procedura di decisione, meglio di co-decisione, che impone all’autorità capofila (leading supervisory authority), vale a dire l’autorità nazionale ex art. 57 RGDP procedente, di sottoporre alle altre autorità nazionali interessate dal procedimento avviato, un progetto di decisione [55]. Le autorità nazionali potranno quindi procedere a sollevare obiezioni rispetto alla bozza di decisione dell’autorità capofila, la quale dovrà, a quel punto, dare seguito a tali obiezioni, ovvero, laddove non intenda darvi seguito, fare ricorso al meccanismo di coerenza applicativa ex art. 63 RGDP [56]. Per garantire un’applicazione coerente del RGDP, nell’ambito di tale meccanismo, è prevista ex art. 65 RGDP l’adozione di una decisione vincolante dello European Data Protection Board (EDPB) «[…] in un caso di cui all’ar­ti­colo 60, paragrafo 4, un’autorità di controllo interessata [abbia] sollevato un’obiezione pertinente e motivata a un progetto di decisione dell’autorità capofila o l’autorità capofila [abbia] rigettato tale obiezione in quanto non pertinente o non motivata. La decisione vincolante riguarda tutte le questioni oggetto dell’obiezione pertinente e motivata, in particolare se sussista una violazione del presente regolamento» [57]. Il ricorso alla procedura di decisione ex art. 65 RGDP si è avuto anche nel caso qui in commento. La Data Protection Commissioner, nell’ambito del progetto di decisione, aveva a suo tempo ritenuto come, a differenza dell’ordine di sospensione, l’imposizione di una sanzione amministrativa pecuniaria non fosse «[…] appropriate, proportionate or necessary to direct Meta Ireland to procure the return and/or deletion of some or all of the personal data that have already been transferred to Meta US», innescando con ciò le obiezioni delle autorità nazionali di Austria, Spagna, Francia e Germania. [58] Dato che l’Au­to­rità irlandese non ha accolto tali obiezioni, si è reso necessario l’intervento dell’EDPB, chiamato a dare [continua ..]

3. La distanza tra il diritto dell’Unione europea e il diritto statunitense in materia di protezione dei dati personali

Il fattore scatenante da cui prende le mosse l’intera vicenda dapprima ricordata è senza dubbio la distanza che si registra in materia di protezione dei dati personali tra il diritto UE e il diritto statunitense [77]. Sulle soglie del nuovo millennio, fu infatti efficacemente evidenziato come l’Unione europea stesse sempre più rivestendo il ruolo di «privacy cop to the world» [78]. In questa battuta, si riassume non solo la distanza che intercorre appunto tra i due ordinamenti giuridici in questione, ma si comprende più in generale la strategia regolatoria che l’Unione europea intende adottare con riguardo al fenomeno digitale, nel quale rientra a pieno titolo la protezione dei dati personali. Per il settore digitale, viene infatti spesso predicato il tentativo da parte del­l’Unione europea di raggiungere una “sovranità digitale europea”, che rimanda a un progetto politico, più che giuridico, di ampio respiro. [79] L’atten­zione posta dall’Unione europea, soprattutto nell’ultimo decennio, alle dinamiche sottese ai fenomeni digitali è sintomatica di un cambio di passo, volto a costruire «[...] un mercato in cui [sia] garantita la libera circolazione delle merci, delle persone, dei servizi e dei capitali e in cui, quale che sia la loro cittadinanza o nazionalità o il luogo di residenza, persone e imprese non incontrano ostacoli all’accesso e all’esercizio delle attività online in condizioni di concorrenza leale e potendo contare su un livello elevato di protezione dei consumatori e dei dati personali» [80]. Di conseguenza, l’Unione europea intende rivendicare un proprio spazio nel contesto internazionale, competendo con gli altri players, segnatamente la Cina e gli Stati Uniti, non tanto «sulla produzione tecnologica, bensì su quella normativa» [81]. In altri termini, l’Unione europea sta affermando un proprio ruolo da regulator rispetto ai suoi competitors, per contenere il fenomeno digitale e governare il mercato digitale, al fine di operare un bilanciamento tra i particolari bisogni propri di questo nuovo mercato e la tutela dei diritti dei cittadini del­l’Unione europea, tra cui anche il diritto alla protezione dei dati personali, ormai qualificabile, alla luce dell’art. 8 della Carta dei Diritti fondamentali, alla stregua di un [continua ..]

4. Conclusione: verso la creazione di global rules

In attesa delle prossime tappe evolutive, con l’avvertenza che «[…] EU officials hope to avoid a “Schrems III” scenario in which they make concessions to the U.S. only to see the CJEU strike down a new agreement», [101] è possibile tentare una riconciliazione delle diverse posizioni degli ordinamenti giuridici dell’Unione europea e degli Stati Uniti [102]? Come evidenziato in dottrina, [103] nel caso Schrems II, la Corte di Giustizia ha suggerito, per evitare di ammettere il ricorrere di una lacuna normativa a seguito della sua pronuncia cassatoria, di fare ricorso all’art. 49 RGDP. [104] Tale norma ammette, in via derogatoria e in assenza di una decisione di adeguatezza ex art. 45 RGDP, ovvero di garanzie adeguate ex art. 46 RGDP, il trasferimento di dati personali, vuoi al ricorrere del consenso del titolare di tali dati, vuoi al ricorrere di una delle condizioni di necessità indicate dalla norma stessa [105]. Eppure, tale via presta il fianco a uno “scontro istituzionale”, in quanto le linee guida elaborate in seno all’EDPB mostrano come le deroghe riconosciute dall’art. 49 RGDP siano riferibili solo a trasferimenti occasionali o non ripetitivi, non potendo pertanto divenire la nuova norma di riferimento per regolare il trasferimento transfrontaliero dei dati personali tra l’Unione europea e gli Stati Uniti [106]. Tra l’altro, si trova riprova di ciò anche nel caso qui commentato, nel quale la Data Protection Commissioner ha evidenziato come il ricorrere di un sistematico trasferimento transfrontaliero, come quello operato da Meta dall’Unione europea agli Stati Uniti, non possa rientrare tra le deroghe riconosciute dall’art. 49 RGDP, a differenza di quanto eccepito nelle proprie difese dalla big tech in questione [107]. Perciò, occorre ricercare una differente soluzione. Una possibile alternativa potrebbe in tal senso derivare dal cd. Brussels Effect [108]. Come noto, il Brussels Effect indica in primis un effetto de facto derivante dall’adozione di particolari politiche, e conseguenti normative, da parte dell’Unione europea, che interessano sovente il business transazionale. Posto che sono poche le imprese che possono permettersi di non accedere al mercato dell’Unione europea, queste sono chiamate al rispetto di normative piuttosto stringenti, per esempio, in materia [continua ..]

NOTE