Il delicato equilibrio tra protezione dei dati personali e necessità istituzionali di trattamento informatico è un tema che, ormai da decenni, interroga dottrina e giurisprudenza.
La sentenza resa dal Tribunale dell’Unione Europea nella causa T-354/22 rappresenta una tappa significativa in questo percorso, soprattutto per il suo valore paradigmatico nella ridefinizione dei limiti giuridici entro cui le istituzioni europee possono operare in materia di trasferimento dei dati verso paesi terzi.
In un’epoca in cui la circolazione delle informazioni assume tratti globali, il confine giuridico tra territorio digitale e sovranità statale appare labile, e ciò richiede un costante affinamento degli strumenti normativi a tutela dei diritti fondamentali.
Ecco l’aspetto innovativo della sentenza che sottolinea come le istituzioni europee non possano sottrarsi all’obbligo di rispettare le disposizioni in materia di trasferimento dei dati personali, neanche quando tali operazioni siano effettuate per ragioni tecniche o operative.
Indice degli argomenti
Trasferimento dati verso Paesi terzi: l’aspetto innovativo della sentenza
La questione al centro della controversia riguarda il trattamento di dati personali da parte della Commissione Europea mediante l’impiego di servizi di content delivery network gestiti da fornitori situati in Paesi terzi.
Si tratta, in altre parole, di operazioni di trasferimento di dati che, benché realizzate per finalità tecniche apparentemente neutre, potrebbero esporre gli interessati a rischi significativi in termini di accesso non autorizzato o utilizzo improprio delle informazioni personali.
La pronuncia del Tribunale pone, dunque, interrogativi di ampia portata circa il bilanciamento tra esigenze funzionali delle istituzioni europee e la tutela dei diritti degli individui, con particolare riferimento al diritto fondamentale alla protezione dei dati sancito dall’articolo 8 della Carta dei diritti fondamentali dell’Unione Europea.
L’aspetto innovativo della sentenza risiede nella specifica qualificazione delle operazioni di trasferimento come atti materiali privi di effetti giuridici autonomamente impugnabili.
Tale impostazione, se da un lato si inserisce nel solco della tradizionale giurisprudenza europea in materia di ricevibilità degli atti, dall’altro lato solleva perplessità in relazione alla tutela effettiva che gli interessati possono ottenere rispetto a violazioni dei propri dati personali.
La protezione dei dati, infatti, non si esaurisce nella mera adozione di misure formali di sicurezza, ma implica un controllo sostanziale sulle modalità con cui tali informazioni vengono gestite e trasferite, soprattutto quando il destinatario finale è situato in una giurisdizione priva di adeguate garanzie normative.
La sentenza
Il ricorrente, un cittadino tedesco di nome Thomas Bindl , ha rilevato che durante la consultazione del sito della Conferenza sul futuro dell’Europa, si è stabilita una connessione con fornitori terzi, tra cui Amazon Web Services e Microsoft, situati in paesi terzi (USA).
Bindl ha chiesto alla Commissione di chiarire quali dati fossero stati trasferiti e la base giuridica di tali trasferimenti. La Commissione ha risposto che i dati non erano stati trasferiti fuori dall’UE, precisando che il sito utilizzava una rete di diffusione di contenuti (CDN) gestita da Amazon CloudFront, con server situati in diverse aree geografiche.
Nell’analisi della causa T-354/22, il Tribunale dell’Unione Europea ha affrontato questioni giuridiche di notevole complessità, incentrate sulla definizione di “trasferimento di dati personali verso paesi terzi” e sulla responsabilità della Commissione Europea nella gestione di tali dati, alla luce del Regolamento (UE) 2018/1725.
Il quadro normativo di riferimento
Questo costituisce il quadro normativo di riferimento che impone alle istituzioni dell’UE il rispetto di rigorose condizioni per il trasferimento di dati personali al di fuori dello Spazio economico europeo.
Tale disciplina si configura come un presidio essenziale per tutelare il diritto
fondamentale alla protezione dei dati personali, riconosciuto dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea.
In particolare, l’articolo 46 del Regolamento vieta qualsiasi trasferimento di dati verso Paesi terzi in assenza di garanzie adeguate, imponendo che tali operazioni avvengano nel rispetto delle misure di protezione previste dalla normativa europea.
Tali garanzie possono essere assicurate mediante clausole contrattuali standard o altri strumenti idonei a garantire un livello di protezione equivalente a quello offerto nell’Unione. La giurisprudenza consolidata della Corte di Giustizia dell’UE, richiamata nella sentenza Schrems II (C-311/18), ha chiarito che, in assenza di una decisione di adeguatezza da parte della Commissione, il trasferimento di dati verso Paesi terzi può avvenire solo qualora siano adottate misure supplementari per garantire una protezione equivalente a quella prevista dal GDPR.
Nel caso specifico, il Tribunale ha rilevato che la Commissione Europea, utilizzando servizi di content delivery network forniti da imprese statunitensi, non ha dimostrato l’adozione di adeguate garanzie per impedire l’accesso sproporzionato ai dati da parte delle autorità locali statunitensi.
Ciò evidenzia come le istituzioni europee non possano sottrarsi all’obbligo di rispettare le disposizioni in materia di trasferimento dei dati personali, neppure quando tali operazioni siano effettuate per ragioni tecniche o operative.
La sentenza richiama, dunque, l’attenzione sull’esigenza di un controllo stringente sulle modalità di gestione dei dati da parte delle istituzioni europee, soprattutto in relazione all’uso di infrastrutture digitali transnazionali.
Il punto critico
Il punto critico sollevato dal Tribunale riguarda l’effettività delle misure adottate dalla Commissione per garantire la protezione dei dati personali degli utenti europei.
La decisione mette in luce un rischio intrinseco nelle pratiche di outsourcing digitale verso fornitori situati in Paesi terzi, i cui ordinamenti giuridici potrebbero non garantire un livello di protezione adeguato rispetto agli standard europei.
In tale contesto, il richiamo alla giurisprudenza Schrems II appare particolarmente significativo: la Corte di Giustizia ha infatti ribadito che le clausole contrattuali standard, da sole, potrebbero non essere sufficienti a garantire un’effettiva protezione, qualora le normative del Paese di destinazione consentano alle autorità locali di accedere ai dati in modo sproporzionato.
Cosa ha stabilito il Tribunale
Il Tribunale ha valutato se le operazioni contestate potessero essere qualificate come atti impugnabili ai sensi dell’articolo 263 del Trattato sul Funzionamento dell’Unione Europea (TFUE).
Tale articolo conferisce alla Corte di Giustizia il potere di controllare la legittimità degli atti legislativi e di altri atti destinati a produrre effetti giuridici vincolanti nei confronti di terzi.
Nel caso in esame, il Tribunale ha stabilito che le operazioni di trasferimento dei dati personali, essendo meri atti materiali, non producono effetti giuridici autonomi e, pertanto, non possono essere oggetto di un ricorso per annullamento.
Questa interpretazione restrittiva della nozione di “atto impugnabile” solleva interrogativi sulla tutela giurisdizionale effettiva dei diritti degli individui, in particolare considerando l’evoluzione tecnologica e la crescente complessità delle operazioni di trattamento dei dati.
La giurisprudenza, in passato, ha riconosciuto la possibilità di impugnare atti
che, pur non avendo una forma giuridica tipica, producono effetti diretti sulla sfera giuridica dei destinatari.
Tuttavia, nel contesto digitale attuale, la distinzione tra atti materiali e atti giuridici diventa sempre più sfumata, richiedendo un approccio interpretativo più flessibile per garantire una protezione adeguata dei diritti fondamentali.
La richiesta del ricorrente di una declaratoria di carenza, basata sull’inerzia della Commissione nel fornire informazioni sul trattamento dei dati personali, è stata dichiarata priva di oggetto, poiché la Commissione ha risposto prima della pronuncia della sentenza.
Tuttavia, il Tribunale ha rilevato che la risposta della Commissione è pervenuta oltre il termine previsto dall’articolo 14, paragrafo 4, del Regolamento (UE) 2018/1725, che impone alle istituzioni di fornire informazioni all’interessato senza ingiustificato ritardo e, in ogni caso, entro un mese dal ricevimento della richiesta.
Questione di tempestività ed adeguatezza delle risposte
Questo ritardo evidenzia una problematica significativa: l’effettività dei diritti riconosciuti agli individui dipende non solo dalla loro enunciazione normativa, ma anche dalla tempestività e dall’adeguatezza delle risposte fornite dalle istituzioni.
Un ritardo ingiustificato nella comunicazione può compromettere la fiducia dei cittadini nelle istituzioni europee e ostacolare l’esercizio dei diritti alla protezione dei dati.
È essenziale, pertanto, che le istituzioni rispettino rigorosamente i termini procedurali stabiliti, garantendo una comunicazione trasparente ed efficiente con gli interessati.
La mancata osservanza di tali obblighi procedurali non dovrebbe essere sottovalutata, poiché incide direttamente sulla legittimità e sull’affidabilità delle istituzioni stesse.
