nota gruppo europa nl n.8
TRANSCRIPT
1
SPUNTI DI RIFLESSIONE SULLA
SENTENZA DELLA CORTE DI GIUSTIZIA DI
LUSSEMBURGO 6 OTTOBRE 2015
M. SCHREMS V. DATA PROTECTION COMMISSIONER
La sentenza della Corte di Giustizia 6 ottobre 2015, fornisce l’occasione
per una riflessione in tema di privacy e di risarcibilità dei danni non
patrimoniali derivanti da violazione della privacy.
1. PREMESSA.
La vicenda è nota. M. Schrems, cittadino austriaco, è un utente del social
network Facebook (di seguito "Facebook") dal 2008. Al momento della
registrazione ha sottoscritto un contratto con la società controllata
Facebook Irlanda in forza del quale i suoi dati personali sarebbero stati
trasferiti al server di proprietà di Facebook Inc. negli Stati Uniti, dove
sarebbero stati soggetti a trattamento. A seguito delle rivelazioni di
Edward Snowden sullo spionaggio condotto dalla Nsa, Schrems ha chiesto
al watchdog della privacy irlandese, paese in cui Facebook ha il suo
quartier generale nella Ue, di impedire il trasferimento verso gli Stati Uniti
dei dati personali degli utenti europei del social network, sostenendo che la
legge e la prassi di detto paese non garantivano un'adeguata protezione dei
dati personali da parte delle autorità. Il Commissario ha respinto la
richiesta non sussistendo prova che la NSA avesse avuto accesso ai dati di
carattere personale del richiedente ed affermando che proprio il
programma di “libero scambio di dati” approvato dalla stessa
Commissione Ue e negoziato con il dipartimento del Commercio
Americano, denominato “Safe Harbor”, garantiva una protezione adeguata
dei dati da parte degli Stati Uniti. Detto programma, infatti, al quale
hanno aderito 4.400 società, ha consentito fino ad oggi il trasferimento dei
dati dalla UE agli USA a società come Facebook, Google, Microsoft,
Yahoo, e Twitter1. Avverso detta decisione Schrems ha proposto un
ricorso dinanzi alla High Court (Alta Corte) secondo la quale la Decisione
della Commissione contrasta con gli Articoli 7 e 8 della Carta dei diritti
1 L’accordo tra UE e USA si basa sull’auto-certificazione delle aziende che vi hanno aderito, e sulla successiva notifica,
su base annua, al Dipartimento del Commercio degli Stati Uniti. L'iscrizione a tale accordo è volontaria, ma con regole vincolanti per chi si iscrive. Il Dipartimento del Commercio USA e la Federal Trade Commissiondegli Stati Uniti sono
responsabili per l'applicazione del regime di Safe Harbour negli Stati Uniti.
2
fondamentali dell'UE2 (rispetto della vita privata e la protezione dei dati
personali) integrata nel trattato di Lisbona che è giuridicamente vincolante
per le istituzioni e gli organi dell'Unione europea e gli Stati membri
quando attuano il diritto dell'Unione europea.
In questo contesto che la High Court (Alta Corte) ha deciso di sospendere
il procedimento e di sottoporre alla Corte le seguenti questioni:
"1) Se, alla luce di articoli 7, 8 e 47 della Carta e fatto salvo l'articolo 25,
comma 6 della direttiva 95/46, il Commissario indipendente responsabile
per l'attuazione della legislazione sulla protezione dei dati è vincolato dalla
decisione 2000/520 della Commissione
2) oppure se, in ipotesi di risposta negativa, il Commissario possa condurre
una propria indagine per verificare come la questione si sia evoluta dopo
la pubblicazione della predetta decisione della Commissione
La Corte di Giustizia ha risolto i quesiti in conformità alle conclusioni
assunte dall’Avvocato Generale francese Yves Bot secondo il quale la
decisione della Commissione del 26 luglio 2000 priva le autorità nazionali
di controllo dei loro poteri nel caso in cui una persona contesti la
compatibilità della decisione con la tutela della vita privata e delle libertà e
diritti fondamentali delle persone in violazione dei principi della Carta.
Pertanto la Corte ha dichiarato invalida la decisione della Commissione del
26 luglio 2000 con la conseguenza che spetterà all’autorità irlandese di
controllo esaminare la denuncia del sig. Schrems con tutta la diligenza
necessaria e che a essa spetta, al termine della sua indagine, decidere se, in
forza della direttiva, occorre sospendere il trasferimento dei dati degli
iscritti europei a Facebook verso gli Stati Uniti perché tale paese non offre
un livello di protezione dei dati personali adeguato.
2. LA PORTATA DELLA SENTENZA DELLA CORTE.
La sentenza della Corte si inserisce in un contesto in cui il problema dei
2 Articolo 7 - Rispetto della vita privata e della vita familiare : Ogni individuo ha diritto al rispetto della propria vita
privata e familiare, del proprio domicilio e delle sue comunicazioni.
Articolo 8 - Protezione dei dati di carattere personale : 1. Ogni individuo ha diritto alla protezione dei dati di carattere
personale che lo riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della
persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati
raccolti che lo riguardano e di ottenerne la rettifica. 3. Il rispetto di tali regole è soggetto al controllo di un'autorità indipendente .
3
trasferimento dei dati UE – USA e della loro sicurezza era già al centro
dell’attenzione della Commissione Europea e del Parlamento Europeo.
In particolare, già alla fine del 2013 la Commissione Europea aveva
proposto 13 raccomandazioni per migliorare il funzionamento del regime
di Safe Harbour. La Commissione aveva altresì invitato le autorità
statunitensi a identificare eventuali rimedi entro l'estate 20143. Il
Parlamento in data 12 marzo 2014 ha adottato una risoluzione sul
programma di sorveglianza NSA degli Stati Uniti chiedendo dopo sei mesi
di indagine la sospensione dei principi di privacy Safe Harbor.
Tuttavia la situazione è precipitata per l’iniziativa giudiziaria di Schrems
che, peraltro, in Austria ha promosso una class action contro Facebook
chiedendo a un Tribunale austriaco di riconoscere un indennizzo di 500
euro per partecipante (per un totale di 12,5 milioni di euro) dopo aver
accertato che la privacy policy dell’azienda viola i diritti dei ricorrenti. e di
alcuni garanti europei nei confronti di Facebook4.
A ciò si aggiunga che, in Belgio, il garante privacy (Commission de la
protection de la vie privée, o CPVP o Commission Vie Privée) in
coordinamento con altre quattro autorità – francese, olandese, tedesca e
3 Queste 13 raccomandazioni:
Nell’ambito della trasparenza:
1. Le imprese auto-certificate devono rendere pubbliche le loro politiche sulla privacy.
2. I siti web di imprese autocertificate dovrebbero sempre includere, nella pagina relativa alla politica sulla privacy, un link al sito web del Safe Harbour del Dipartimento del Commercio che ne elenca tutti gli attuali membri.
3. Le imprese auto-certificate devono pubblicare le condizioni di privacy di tutti i contratti conclusi con i
subappaltatori, ad esempio, servizi di cloud computing. 4. Dovranno essere chiaramente segnalate nel sito web del Dipartimento del Commercio tutte le società che non
hanno sottoscritto l’accordo.
Nell’ambito del risarcimento: 5. Nella pagina relativa alla politica sulla privacy sui siti Web aziendali ci dovrebbe essere un link ai soggetti
competenti per la risoluzione alternativa delle controversie (ADR). 6. Tali soggetti ADR devono essere sempre disponibili.
7. Il Dipartimento del Commercio dovrebbe monitorare in modo più sistematico i “fornitori” di ADR in materia di
trasparenza e accessibilità delle informazioni fornite in merito alla procedura che usano e alle soluzioni presentate ai vari reclami.
Nell’ambito dell’applicazione:
8. A seguito della certificazione o ricertificazione delle società nel Safe Harbour, una certa percentuale di queste società dovrebbe essere soggetta a indagini specifiche con riferimento al rispetto effettivo delle politiche sulla
privacy (che vadano oltre il controllo del rispetto dei requisiti formali).
9. Una volta accertata la non conformità a seguito di una denuncia o di un'indagine, la società dovrebbe essere oggetto di un'indagine specifica dopo 1 anno.
10. In caso di dubbi sulla conformità o di denunce pendenti su una società, il Dipartimento del Commercio USA deve
informare l'autorità di protezione dei dati competente dell'UE. 11. False dichiarazioni di adesione al Safe Harbour dovrebbero essere oggetto di continue indagini.
Nell’ambito dell’accesso da parte delle autorità statunitensi:
12. Le politiche sulla privacy di imprese autocertificate dovrebbero includere informazioni sulla misura in cui la legge statunitense consente alle autorità pubbliche di raccogliere ed elaborare i dati trasferiti con l’accordo di Safe
Harbour. In particolare, le imprese dovrebbero indicare nelle loro politiche sulla privacy in quali casi vengono
applicate delle eccezioni per questioni di sicurezza nazionale, interesse pubblico o esigenze derivanti dall'applicazione della legge statunitense.
13. È importante che si faccia ricorso all'eccezione per la salvaguardia della sicurezza nazionale solo in misura
strettamente necessaria e proporzionata. 4 Per le iniziative nei confronti di Facebook si veda : http://europe-v-facebook.org/EN/en.html
4
spagnola – ha chiesto - oltre ad una pronuncia che sancisca l’illiceità della
profilazione effettuata dal social network su utenti e non utenti del suo
servizio, attraverso i cookies e i suoi social plugins - anche il
riconoscimento del principio che qualsiasi authority nazionale possa
esercitare i propri poteri regolatori sulle multinazionali digitali, a
prescindere dal radicamento territoriale di queste ultime in Europa5.
Pertanto la sentenza della Corte di Giustizia, oltre ad avere un effetto
immediato sulla validità del Safe Harbor quale piattaforma per il
trasferimento dei dati, con conseguente necessità di approntare in tempi
brevi – entro il 31 dicembre 2015 – una soluzione6, sollecitata anche dal
Gruppo art. 29, potrebbe determinare un incremento del contenzioso se il
consumatore volesse chiedere, come accaduto a Vienna, anche il
risarcimento del danno per violazione della normativa della privacy. La
questione è tanto più attuale di quello che si possa immaginare se si
considera che, anche all’interno della UE, sono state introdotte discipline
che legittimano la sorveglianza di massa a fini di sicurezza, come come la
Loi relative au renseignement7 in Francia, sulla quale la CNIL –
(Commission nationale de l'informatique et des libertés) ha espresso forti
critiche.
3. IL RISARCIMENTO DEL DANNO DA PRIVACY.
Il risarcimento del danno da violazione della normativa della privacy è
disciplinato dall’art. 2050 c.c. in quanto il trattamento dei dati personali è
considerato dal legislatore come attività pericolosa (art. 15 del Codice
della Privacy D. Lgs. n. 196 del 2003).
Pertanto, ai sensi della norma anzidetta spetterà al professionista o alla
società, in presenza di un danno, provare di aver adottato le misure idonee
ad evitare il danno (Cass. Civ., Sez.III, 2468/09).
Quanto al danno non patrimoniale sarà risarcibile nel caso in cui il
trattamento dei dati personali costituisca reato (art. 167 D. Lgs. 196/2003)
oppure, come previsto dall’art. 15 cit. 2° comma, anche nei casi previsti
dall’art. 11 del Codice della Privacy ossia violazione dei principi di liceità
5 http://www.privacycommission.be/fr
6 https://www.slideshare.net/slideshow/embed_code/key/icuYW6N9hnwyCZ e
https://www.slideshare.net/slideshow/embed_code/key/rwmZPdKGT8gUhB 7 http://www.legifrance.gouv.fr/eli/loi/2015/7/24/PRMX1504410L/jo/texte
5
e correttezza del trattamento; di finalità; di qualità ed esattezza dei dati
trattati; di pertinenza dei dati rispetto al trattamento; della giusta durata del
periodo di conservazione dei dati.
Ne consegue che le condotte illecite foriere di danno non patrimoniale
sono ampie e possono riguardare sia i dati personali che il loro trattamento
e consistere nella distruzione, perdita, accesso non autorizzato ai dati o nel
trattamento non consentito o non conforme alla finalità della raccolta.
Tuttavia anche il danno non patrimoniale derivante da un illecito
trattamento dei dati personali sensibili, non può essere risarcito in re ipsa,
dovendosi sempre provare, secondo le regole ordinarie, quale ne sia l'entità
ed a prescindere anche dalla difficoltà della relativa prova.
In questo senso infatti si è espressa la Corte di Cassazione civ. Sez. III,
Sent., 03-07-2014, n. 15240.
Non solo : la Suprema Corte, con sentenza 15 luglio 2014 n. 16133
ribadendo l’impossibilità di ravvisare un danno non patrimoniale in re
ipsa, anche nel caso di lesione dei diritti inviolabili come quello alla
privacy, ha altresì affermato la necessità di stabilire una soglia per
l’accesso alla tutela risarcitoria, invocando il criterio introdotto dalla
giurisprudenza della Corte Europea dei Diritti dell’Uomo, in applicazione
del paragrafo 3 b) dell'articolo 35 della Convenzione (Cusan e Fazzo c.
Italia, n. 77/07, 7 gennaio 2014). In particolare la Cassazione ha ritenuto
che il danno non patrimoniale risarcibile ai sensi del D.Lgs. 30 giugno
2003, n. 196, art. 15, (c.d. codice della privacy) non si sottrae alla verifica
di "gravità della lesione" e di "serietà del danno" ciò in quanto, anche
nella fattispecie di danno non patrimoniale di cui al citato art. 15, opera il
bilanciamento del diritto tutelato da detta disposizione con il principio di
solidarietà - di cui il principio di tolleranza è intrinseco precipitato -, il
quale, nella sua immanente configurazione, costituisce il punto di
mediazione che permette all'ordinamento di salvaguardare il diritto del
singolo nell'ambito di una concreta comunità di persone che deve
affrontare i costi di una esistenza collettiva.
Ora, “la "gravità della lesione" attiene al momento determinativo
dell'evento dannoso, quale incidenza pregiudizievole sul diritto/interesse
selezionato (dal legislatore o dall'interprete) come meritevole di tutela
6
aquiliana e la sua portata è destinata a riflettersi sull'ingiustizia del
danno, che non potrà più predicarsi tale in presenza di una minima
offensività della lesione stessa….La "serietà del danno" riguarda, invece,
il piano delle conseguenze della lesione e cioè l'area dell'obbligazione
risarcitoria, che si appunta sulla effettività della perdita subita (il c.d.
danno- conseguenza); il pregiudizio "non serio" esclude che vi sia una
perdita di utilità derivante da una lesione che pur abbia superato la soglia
di offensività”.
Per l'accertamento di entrambi i requisiti, il parametro è costituito dalla
coscienza sociale in un determinato momento storico.
Il principio anzidetto aveva già trovato applicazione in una sentenza della
Suprema Corte relativa alla diffusione giornalistica della notizia
dell'adozione di una delibera comunale riguardante l'assistenza da prestarsi
ad una persona disabile minore d'età, (Cass. Civ., Sez. 25 novembre 2014
n. 24986) ed è stato nuovamente applicato anche nella successiva sentenza
29/05/2015 n. 11223 relativa al corretto trattamento dei dati personali da
parte del datore di lavoro.
4. CONCLUSIONI.
Quale soluzione allora per accertare l’an ed il quantum del danno non
patrimoniale da lesione risarcibile ai sensi del D.Lgs. 30 giugno 2003, n.
196?
De iure condendo, suggerisce la Corte, “il legislatore potrebbe
tipizzazione le ipotesi di danno non patrimoniale concentrandosi soltanto
nella selezione dell'interesse giuridicamente meritevole di tale tutela
risarcitoria e lasciare interamente al momento applicativo della legge
l'indagine sull'ingiustizia del danno e sulla sua serietà” ovvero potrebbe
“attrarre nell'orbita della operata selezione anche la gravità della lesione,
attraverso un bilanciamento effettuato a priori, in ragione di esigenze
complessive che non attengano di per sè alla preminenza del
diritto/interesse tutelato bensì alla interazione tra il principio di
solidarietà ed il tipo di rapporti che tali diritti innestano” oppure
“potrebbe confezionare misure rimediali ancor più intense, in ipotesi
derogando anche al principio di effettività della perdita subita e, in
un'ottica (diversa da quella attuale) privilegiante piuttosto una funzione
7
meramente sanzionatoria della responsabilità civile, ipotizzare un danno
in re ipsa, che prescinda dalla stessa effettività della perdita subita,
magari valutando che lo stesso vincolo di solidarietà imponga, in quel
dato contesto, una assoluta preminenza di salvaguarda dei diritti
implicati”.
De iure condito, invece, “se può ritenersi che il giudizio sulla gravità della
lesione (ma non quello sulla serietà del danno) sia già definitivamente
espresso dal legislatore nella stessa scelta di politica criminale di punire,
per il particolare disvalore che lo caratterizza, un fatto come reato, la
stessa gravità della lesione, oltre che la serietà del danno, è delibazione
che la L. 24 marzo 2001, n. 89, art. 2, comma 2, (c.d. legge Pinto), nella
sua attuale formulazione, sembra affidare complessivamente
all'apprezzamento del giudice, talune ipotesi in cui la pur esistente
violazione della durata ragionevole del processo non da luogo ad alcun
indennizzo.”
E’ questa dunque una delle sfide che l’Osservatorio deve raccogliere ai fini
della costruzione di una tabella del danno non patrimoniale che individui
delle linee guida per verificare, in concreto la gravità della lesione e la
serietà del danno da violazione del diritto alla privacy.
Milano 26 ottobre 2015
(Avv. Gigliola Pirotta)
Osservatorio sulla Giustizia Civile di Milano – Gruppo Europa