Facebook, Corte Ue: i singoli Stati possono vietare il trasferimento dei dati personali negli Usa.

(Domanda di pronuncia pregiudiziale – Dati personali – Tutela delle persone fisiche con riguardo al trattamento di tali dati – Carta dei diritti fondamentali dell’Unione europea – articoli 7, 8 e 47 – Direttiva 95/46 / CE – articoli 25 e 28 – Trasferimento di dati personali verso paesi terzi – la decisione 2000/520 / CE – Trasferimento di dati personali verso gli Stati Uniti – protezione insufficiente – Validità – denuncia di un singolo i cui dati sono stati trasferiti dall’Unione europea agli Stati Uniti – Poteri delle autorità nazionali di vigilanza)

Nella causa C-362/14,

RICHIESTA di pronuncia pregiudiziale ai sensi dell’articolo 267 TFUE, dalla High Court (Irlanda), con decisione del 17 luglio 2014, pervenuta in cancelleria il 25 luglio 2014, nella causa tra

Maximillian Schrems

v

Data Protection Commissioner,

partito unito:

Digital Rights Ireland Ltd,

LA CORTE (Grande Sezione),

V. Skouris, presidente, K. Lenaerts, vicepresidente, A. Tizzano, R. Silva de Lapuerta, T. von Danwitz (relatore), S. Rodin e K. Jürimäe, presidenti di sezione, A. Rosas, E. Juhász, A. Borg Barthet, J. Malenovský, D. Šváby, M. Berger, F. Biltgen e C. Lycourgos, giudici,

Avvocato generale: Y. Bot,

Cancelliere: sig.ra L. Hewlett, amministratore principale,

vista la fase scritta del procedimento e in seguito all’udienza del 24 marzo 2015,

considerate le osservazioni presentate:

– Signor Schrems, dalla sig.ra N. Travers, Senior Counsel, P. O’Shea, barrister-at-law, G. Rudden, solicitor, e H. Hofmann, del foro,

– Il Data Protection Commissioner, di P. McDermott, barrister-at-law, S. Più O’Ferrall e D. Young, Solicitors,

– Digital Rights Ireland Ltd, di F. Crehan, barrister-at-law, e S. McGarr e E. McGarr, Solicitors,

– L’Irlanda, di A. Joyce, B. Counihan e E. Creedon, in qualità di agenti, e D. Fennelly, barrister-at-law,

– Per il governo belga, dal sig Halleux e C. Pochet, in qualità di agenti,

– Per il governo ceco, dal M. Smolek e J. Vláčil, in qualità di agenti,

– Per il governo italiano, dalla sig.ra G. Palmieri, in qualità di agente, e P. Gentili, avvocato dello Stato,

– Per il governo austriaco, dal signor G. Hesse e G. Kunnert, in qualità di agenti,

– Per il governo polacco, dalla sig.ra M. Kamejsza, M. e B. Majczyna Pawlicka, in qualità di agenti,

– Per il governo sloveno, dalla sig.ra A. Grum e V. Klemenc, in qualità di agenti,

– Per il governo del Regno Unito, dalla sig.ra L. e J. Christie Beeko, in qualità di agenti, e J. Holmes, barrister,

– Il Parlamento europeo, dalla sig.ra D. Moore, A. Caiola e M. Pencheva, in qualità di agenti,

– Per la Commissione europea, dalla sig.ra B. Schima, B. Martenczuk, B. Smulders e J. Vondung, in qualità di agenti,

– Garante europeo della protezione dei dati (GEPD), C. Docksey, A. Buchta e V. Pérez Asinari, in qualità di agenti,

sentite le conclusioni dell’avvocato generale, presentate all’udienza del 23 settembre 2015,

ha pronunciato la seguente

Giudizio

1 La domanda di pronuncia pregiudiziale verte sull’interpretazione, alla luce degli articoli 7, 8 e 47 della Carta dei diritti fondamentali dell’Unione europea (‘Carta’), degli articoli 25 (6), e 28 della direttiva 95 / 46 / CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31), come modificata dal regolamento (CE) n 1882/2003 del Parlamento europeo e del Consiglio, del 29 settembre 2003 (GU 2003, L 284, pag. 1) (‘direttiva 95/46’), e, in sostanza, la validità della Commissione Decisione 2000/520 / CE del Consiglio del 26 luglio 2000 ai sensi della direttiva 95/46 sull’adeguatezza della protezione offerta dai principi di approdo sicuro e relative domande più frequenti pubblicate dal Dipartimento del Commercio statunitense (GU 2000, L 215, pag. 7 ).

2 La domanda è stata presentata nell’ambito di una controversia tra il sig Schrems e il Commissario protezione dei dati (‘il commissario’) in merito al rifiuto di quest’ultimo di esaminare una denuncia presentata dal sig Schrems per quanto riguarda il fatto che Facebook Ireland Ltd (‘Facebook Ireland’) trasferisce il personale dati dei suoi utenti verso gli Stati Uniti d’America e la mantiene su server situati in quel paese.

Contesto normativo

Direttiva 95/46

3 I ‘considerando’ 2, 10, 56, 57, 60, 62 e 63 del preambolo della direttiva 95/46 così recitano:

‘(2) … i sistemi di trattamento dei dati sono al servizio dell’uomo; … Essi, indipendentemente dalla nazionalità o dalla residenza delle persone fisiche, debbono rispettare le libertà ei diritti fondamentali, in particolare il diritto alla privacy, e contribuiscono al … il benessere degli individui;

…

(10) … l’oggetto delle legislazioni nazionali relative al trattamento dei dati personali è quello di proteggere i diritti e le libertà fondamentali, in particolare il diritto alla vita privata, riconosciuto anche dall’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali [, firmata a Roma il 4 novembre 1950,] e dai principi generali del diritto comunitario; …, Per questo motivo, il ravvicinamento di dette legislazioni non deve avere per effetto un indebolimento della tutela da esse assicurata ma deve, al contrario, cercare di garantire un alto livello di protezione nella Comunità;

…

(56) … i flussi transfrontalieri di dati personali sono necessari per l’espansione del commercio internazionale; … La tutela delle persone garantita nella Comunità dalla presente direttiva non ostacolare di trasferimenti di dati personali verso paesi terzi che garantiscano un livello di protezione adeguato; … L’adeguatezza del livello di protezione garantito da un paese terzo deve essere valutata alla luce di tutte le circostanze relative ad un trasferimento o categoria di trasferimenti;

(57) … d’altra parte, il trasferimento di dati personali verso un paese terzo che non garantisca un adeguato livello di protezione deve essere vietato;

…

(60) … in ogni caso, i trasferimenti verso paesi terzi possono essere effettuati solo nel pieno rispetto delle disposizioni adottate dagli Stati membri a norma della presente direttiva, e in particolare l’articolo 8;

…

(62) … l’istituzione negli Stati membri di autorità di controllo, nell’esercizio delle loro funzioni in piena indipendenza, è una componente essenziale della protezione delle persone fisiche con riguardo al trattamento dei dati personali;

(63) … tali autorità devono disporre dei mezzi necessari per svolgere i loro compiti, compresi poteri di indagine e di intervento, in particolare in caso di reclami di singoli individui, nonché poteri di avviare azioni legali; … ‘

4 articoli 1, 2, 25, 26, 28 e 31 della direttiva 95/46 dispone quanto segue:

‘Articolo 1

Oggetto della direttiva

1. In conformità della presente direttiva, gli Stati membri di proteggere i diritti e le libertà fondamentali delle persone fisiche, in particolare il loro diritto alla vita privata, con riguardo al trattamento dei dati personali.

…

Articolo 2

Definizioni

Ai fini della presente direttiva:

(a) “dati personali”: qualsiasi informazione concernente una persona fisica identificata o identificabile (“persona interessata”); una persona identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi caratteristici della sua fisiologica, psichica identità fisica,, economica, culturale o sociale;

(b) “trattamento di dati personali” (“trattamento”): qualsiasi operazione o insieme di operazioni compiute a dati personali, con o senza l’ausilio di processi automatizzati, come la raccolta, registrazione, organizzazione, conservazione, elaborazione o la modifica, estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra messa a disposizione, raffronto o, il blocco, la cancellazione o la distruzione;

…

(d) “responsabile”, la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali; Quando le finalità ei mezzi del trattamento sono determinati da leggi nazionali o comunitarie o regolamenti, il controller oi criteri specifici per la sua designazione possono essere fissati dal diritto nazionale o comunitario;

…

Articolo 25

Principi

1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere trattamento dopo il trasferimento può avvenire solo se, fermo restando il rispetto delle disposizioni nazionali adottate in applicazione delle altre disposizioni della presente La direttiva, il paese terzo in questione garantisce un livello di protezione adeguato.

2. L’adeguatezza del livello di protezione garantito da un paese terzo è valutata alla luce di tutte le circostanze relative ad un trasferimento o ad un insieme di operazioni di trasferimento dei dati; particolare sono presi in considerazione la natura dei dati, le finalità e la durata del trattamento previsto, il paese d’origine e paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel paese terzo in questione e le regole professionali e le misure di sicurezza osservate in quel paese.

3. Gli Stati membri e la Commissione si informano reciprocamente dei casi in cui ritengono che un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2.

4. Qualora la Commissione constati, secondo la procedura di cui all’articolo 31 (2), che un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, gli Stati membri adottano le misure necessarie per prevenire ogni trasferimento di dati della stessa natura verso il paese terzo in questione.

5. Al momento opportuno, la Commissione avvia negoziati per porre rimedio alla situazione risultante dalla constatazione di cui al paragrafo 4.

6. La Commissione può constatare, secondo la procedura di cui all’articolo 31 (2), che un paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in ragione della sua legislazione nazionale o della impegni internazionali assunti, in particolare al momento della conclusione dei negoziati di cui al paragrafo 5, per la tutela della vita privata o delle libertà e dei diritti dell’individuo.

Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.

Articolo 26

Deroghe

1. In deroga all’articolo 25 e salvo che diversamente previsto dalla legislazione nazionale per casi particolari, gli Stati membri dispongono che un trasferimento o una serie di trasferimenti di dati personali verso un paese terzo che non garantisce un livello di protezione adeguato ai ai sensi dell’articolo 25 (2) può avvenire a condizione che:

(a) la persona interessata abbia dato il proprio consenso in maniera inequivocabile al trasferimento previsto; o

(b) è necessario per l’esecuzione di un contratto tra la persona interessata ed il responsabile del trattamento o l’esecuzione di misure precontrattuali adottate in risposta alla richiesta della persona interessata al trasferimento; o

(c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato nell’interesse della persona interessata tra il controllore e un terzo; o

(d) il trasferimento sia necessario o prescritto dalla legge un interesse pubblico rilevante, oppure per costatare, esercitare o difendere un diritto per via giudiziaria; o

(e) il trasferimento sia necessario al fine di tutelare gli interessi vitali della persona interessata; o

(f) il trasferimento è effettuato da un registro che secondo le leggi o regolamenti è destinato a fornire informazioni al pubblico e che è aperto alla consultazione sia per il pubblico in generale o da qualsiasi persona che possa dimostrare un interesse legittimo, nella misura in cui le condizioni previste dalla legge per la consultazione sono soddisfatte nel caso specifico.

2. Fatto salvo il paragrafo 1, uno Stato membro può autorizzare un trasferimento o una serie di trasferimenti di dati personali verso un paese terzo che non garantisce un livello di protezione adeguato ai sensi dell’articolo 25 (2), dove le adduce regolatore garanzie sufficienti per quanto riguarda la protezione della vita privata e diritti fondamentali e le libertà individuali e per quanto riguarda l’esercizio dei relativi diritti; tali garanzie possono segnatamente risultare da clausole contrattuali appropriate.

3. Lo Stato membro informa la Commissione e gli altri Stati membri in merito alle autorizzazioni concesse a norma del paragrafo 2.

Qualora uno Stato membro o la Commissione oggetti per motivi giustificati che coinvolgono la tutela della vita privata e diritti fondamentali e delle libertà personali, la Commissione adotta le misure appropriate secondo la procedura di cui all’articolo 31 (2).

Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione.

…

Articolo 28

Autorità di vigilanza

1. Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare l’applicazione nel suo territorio delle disposizioni adottate dagli Stati membri conformemente alla presente direttiva.

Tali autorità sono pienamente indipendenti nell’esercizio delle funzioni loro attribuite.

2. Ciascuno Stato membro prevede che le autorità di controllo siano consultate al momento dell’elaborazione delle misure regolamentari o amministrative relative alla tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali.

3. Ogni autorità di controllo dispone in particolare con:

– Di poteri investigativi, come la facoltà di accesso ai dati che formano l’oggetto delle operazioni di trattamento e poteri di raccogliere tutte le informazioni necessarie per lo svolgimento delle sue funzioni di vigilanza,

– Di poteri effettivi d’intervento, come, ad esempio, quello di formulare pareri prima dell’avvio di trattamenti effettuati, ai sensi dell’articolo 20, e adeguata pubblicità di tali pareri, di ordinare il congelamento, la cancellazione o la distruzione dei dati, di imporre un divieto temporaneo o definitivo un trattamento, di avvertimento o un monito al responsabile, o quello di adire i Parlamenti o altre istituzioni politiche,

– Del potere di promuovere azioni giudiziarie in caso le disposizioni nazionali di attuazione della presente direttiva siano stati violati o di adire per dette violazioni all’attenzione delle autorità giudiziarie.

Le decisioni dell’autorità di controllo che danno luogo a reclami possono essere impugnate in tribunale.

4. Ciascuna autorità di vigilanza adite presentate da qualsiasi persona, o da un’associazione che rappresenta quella persona, per quanto riguarda la tutela dei suoi diritti e libertà con riguardo al trattamento dei dati personali. La persona interessata è informata dell’esito del reclamo.

Ogni autorità di controllo, in particolare, le domande concernenti i controlli sulla legittimità del trattamento dei dati presentate da qualsiasi persona quando le disposizioni nazionali adottate a norma dell’articolo 13 della presente direttiva si applicano. La persona viene ad ogni modo informata che una verifica ha avuto luogo.

…

6. Ciascuna autorità di controllo competente, indipendentemente dalla legge nazionale applicabile al trattamento in questione, di esercitare, nel territorio del suo Stato membro, i poteri ad essa conferiti a norma del paragrafo 3. Ciascuna autorità può essere invitata ad esercitare la sua poteri da un’autorità di un altro Stato membro.

…

Articolo 31

…

2. Quando è fatto riferimento al presente articolo, gli articoli 4 e 7 della [del Consiglio] la decisione 1999/468 / CE [del 28 giugno 1999, recante modalità per l’esercizio delle competenze di esecuzione conferite alla Commissione (GU 1999, L 184, pag . 23)], tenendo conto delle disposizioni dell’articolo 8 della stessa.

… ‘

Decisione 2000/520

5 La decisione 2000/520 è stata adottata dalla Commissione sulla base dell’articolo 25 (6), della direttiva 95/46.

6 considerando 2, 5 e 8 ‘di tale decisione sono del seguente tenore:

‘(2) La Commissione può constatare che un paese terzo garantisce un livello di protezione adeguato. In tal caso i dati personali possono essere trasferiti dagli Stati membri senza necessità di ulteriori garanzie.

…

(5) Il livello di protezione adeguato per il trasferimento di dati dalla Comunità verso gli Stati Uniti riconosciuti dalla presente decisione, debba essere perseguita se le organizzazioni siano conformi ai principi di approdo sicuro per la protezione dei dati personali trasferiti da uno Stato membro per la Stati Uniti (di seguito “i Principi”) e le domande frequenti (di seguito “la FAQ”) che fornisce indicazioni per l’attuazione dei principi emessi dal governo degli Stati Uniti il ​​21 luglio 2000. Inoltre, le organizzazioni dovrebbero rivelare pubblicamente la loro privacy politiche e soggetta alla giurisdizione della Federal Trade Commission (FTC) ai sensi della sezione 5 del Federal Trade Commission Act, che vieta atti sleali o ingannevoli o pratiche in o commercio che interessano, o quello di un altro corpo di legge che effettivamente garantire il rispetto del principi applicati in conformità alle FAQ.

…

(8) Ai fini della trasparenza e al fine di salvaguardare la capacità delle autorità competenti degli Stati membri di garantire la tutela delle persone fisiche con riguardo al trattamento dei dati personali, è necessario specificare nella decisione le circostanze eccezionali in che la sospensione di specifici flussi di dati deve essere giustificata, nonostante l’esistenza di un’adeguata tutela. ‘

7 articoli da 1 a 4 della decisione 2000/520 prevedono:

‘Articolo 1

1. Ai fini dell’articolo 25 (2) della direttiva 95/46 / CE, per tutte le attività che rientrano nel campo di applicazione di tale direttiva, i “Safe Harbour Privacy Principles” (di seguito “i Principi”), di cui L’allegato I della presente decisione, applicati in conformità agli orientamenti forniti dalla domande più frequenti (di seguito “la FAQ”) pubblicate dal Dipartimento del Commercio USA il 21 luglio 2000 di cui all’allegato II della presente decisione sono considerati al fine di garantire un adeguato livello di protezione dei dati personali trasferiti dalla Comunità alle organizzazioni stabilite negli Stati Uniti, tenendo conto delle seguenti documenti rilasciati dal Dipartimento del Commercio statunitense:

(a) la cassaforte panoramica porto di applicazione di cui all’allegato III;

(b) un memorandum sui danni per violazioni della riservatezza ed autorizzazioni esplicite previste dalle leggi degli Stati Uniti di cui all’allegato IV;

(c) la lettera della Commissione federale per il commercio di cui all’allegato V;

(d) una lettera da parte del Dipartimento dei Trasporti statunitense di cui all’allegato VI.

2. In relazione a ogni trasferimento di dati le seguenti condizioni devono essere soddisfatte:

(a) l’organizzazione che riceve i dati ha chiaramente e pubblicamente il suo impegno a rispettare i principi applicati in conformità alle FAQ; e

(b) l’organizzazione è soggetta ai poteri statutari di un ente governativo degli Stati Uniti di cui all’allegato VII della presente decisione, che è competente ad esaminare denunce ea imporre la cessazione contro le pratiche sleali o ingannevoli, così come risarcimento per gli individui, a prescindere dalla loro paese di residenza o la cittadinanza, in caso di mancato rispetto dei principi applicati in conformità alle FAQ.

3. Le condizioni di cui al paragrafo 2 sono considerate soddisfatte per ogni organizzazione che autocertifica la sua adesione ai principi applicati in conformità alle FAQ a partire dalla data in cui la notifica al Dipartimento del Commercio statunitense (o suo designato ) la comunicazione al pubblico l’impegno di cui al paragrafo 2 (a) e l’identità del corpo governativo di cui al paragrafo 2 (b).

Articolo 2

Questa decisione riguarda soltanto l’adeguatezza della protezione offerta negli Stati Uniti secondo i principi applicati in conformità alle FAQ, al fine di soddisfare i requisiti di cui all’articolo 25 (1), della direttiva 95/46 / CE e non pregiudica l’applicazione di altre disposizioni della stessa direttiva, relative al trattamento dei dati personali all’interno degli Stati membri, in particolare l’articolo 4.

Articolo 3

1. Fatti salvi i poteri di intervento al fine di garantire il rispetto delle disposizioni nazionali adottate in applicazione di disposizioni diverse dall’articolo 25 della direttiva 95/46 / CE, le autorità competenti degli Stati membri possono esercitare i loro attuali poteri di sospendere i flussi di dati ad un’organizzazione che ha autocertificato la propria adesione ai principi applicati in conformità alle FAQ, al fine di proteggere le persone fisiche con riguardo al trattamento dei loro dati personali nei casi in cui:

(a) gli enti governativi degli Stati Uniti di cui all’allegato VII della presente decisione, o un organismo indipendente di ricorso ai sensi della lettera (a) del principio di esecuzione di cui all’allegato I della presente decisione ha stabilito che l’organizzazione viola i principi applicati in conformità alle FAQ; o

(b) vi è una probabile che le principi vengano violati; vi è una base ragionevole per credere che il meccanismo di esecuzione competente non stia adottando o non adotterà misure adeguate e tempestive per risolvere il caso in questione; la continuazione del trasferimento comporterebbe un rischio imminente di grave danno per le persone interessate; e le autorità competenti dello Stato membro hanno compiuto sforzi date le circostanze, per informare l’organizzazione dandole l’opportunità di rispondere.

La sospensione cessa non appena il rispetto dei principi applicati in conformità alle FAQ è assicurato e le autorità competenti interessate nella Comunità sono informata.

2. Gli Stati membri informano immediatamente la Commissione dei provvedimenti adottati sulla base del paragrafo 1.

3. Gli Stati membri e la Commissione si informano reciprocamente dei casi in cui l’azione di organismi incaricati di vigilare sul rispetto dei principi applicati in conformità alle FAQ negli Stati Uniti non riesce a garantire tale rispetto.

4. Se le informazioni raccolte ai sensi dei paragrafi 1, 2 e 3 fornisce la prova che qualunque organismo incaricato di vigilare sul rispetto dei principi applicati in conformità alle FAQ negli Stati Uniti non svolge efficacemente il suo ruolo, la Commissione informa il Dipartimento di Commercio e, se necessario, presenta progetti di misure secondo la procedura di cui all’articolo 31 della direttiva 95/46 / CE, al fine di annullare o sospendere la presente decisione o limitarne il campo di applicazione.

Articolo 4

1. La presente decisione può essere adattata in qualsiasi momento alla luce dell’esperienza acquisita con la sua attuazione e / o se il livello di protezione offerta dai principi e dalle FAQ sia superato dai requisiti della legislazione degli Stati Uniti.

La Commissione valuta in ogni caso l’attuazione della presente decisione sulla base delle informazioni disponibili tre anni dopo la sua notifica agli Stati membri e comunica qualsiasi riscontro al comitato istituito ai sensi dell’articolo 31 della direttiva 95/46 / CE, comprese le eventuali prove che potrebbero influire sulla valutazione che le disposizioni di cui all’articolo 1 della presente decisione forniscono una protezione adeguata ai sensi dell’articolo 25 della direttiva 95/46 / CE ed eventuali prove che la presente decisione è applicata in modo discriminatorio.

2. La Commissione, se necessario, presenta progetti di misure secondo la procedura di cui all’articolo 31 della direttiva 95/46 / CE. ‘

8 L’allegato I della decisione 2000/520 è formulato come segue:

“Safe Harbour Privacy Principles

pubblicato dal Dipartimento del Commercio USA il 21 luglio 2000

… Il Dipartimento del Commercio pubblica il presente documento e Frequently Asked Questions (“i Principi”) sotto la sua autorità legale di favorire, promuovere e sviluppare il commercio internazionale. I principi sono stati sviluppati in collaborazione con l’industria e il pubblico per facilitare gli scambi e il commercio tra gli Stati Uniti e l’Unione europea. Essi sono destinati ad essere utilizzati esclusivamente da organizzazioni americane che ricevono dati personali dall’Unione europea ai fini della qualificazione per il porto sicuro e la presunzione di “adeguatezza”, che crea. Perché i principi sono stati progettati esclusivamente per questo scopo specifico, la loro adozione per altri scopi potrebbe essere inadeguato. …

Le decisioni da parte delle organizzazioni per qualificarsi per l’approdo sicuro sono del tutto volontaria, e le organizzazioni possono qualificarsi per il porto sicuro in modi diversi. …

L’adesione a questi principi può essere limitata: (a) nella misura necessaria a soddisfare la sicurezza nazionale, interesse pubblico, o delle esigenze delle forze dell’ordine; (b) per legge, regolamento governativo o giurisprudenza che comportino obblighi contrastanti od autorizzazioni esplicite, a condizione che, nell’esercizio tali autorizzazioni, un’organizzazione può dimostrare che il mancato rispetto dei Principi è limitata a quanto necessario per rispondere i legittimi interessi superiore tutelati da detta autorizzazione; o (c) se l’effetto della direttiva [o] legislazione degli Stati membri è quello di consentire eccezioni o deroghe, a condizione che tali eccezioni o deroghe sono applicate in contesti analoghi. Coerentemente con l’obiettivo di rafforzare la tutela della privacy, le organizzazioni dovrebbero sforzarsi di attuare pienamente e in modo trasparente questi Principi, tra cui l’indicazione nelle loro politiche di privacy dove eccezioni ai principi consentiti dalla (b) di cui sopra si applicheranno su base regolare. Per lo stesso motivo, in cui l’opzione è consentita in base ai Principi e / o legge degli Stati Uniti, le organizzazioni sono tenuti a optare per il più elevato di protezione, ove possibile.

… ‘

9 L’allegato II della decisione 2000/520 recita come segue:

‘Domande frequenti (FAQ)

…

FAQ 6 – Autocertificazione

D: Come funziona un’organizzazione autocertificare che aderisce ai principi Safe Harbor?

A: i benefici Safe Harbor sono garantiti dalla data in cui l’organizzazione autocertifica al Dipartimento del commercio (o suo designato) la sua adesione ai principi, in conformità con le indicazioni di seguito esposti.

Per autocertificare per il porto sicuro, le organizzazioni possono fornire al Dipartimento del commercio (o suo designato) una lettera, firmata da un funzionario aziendale per conto dell’organizzazione che unisce il porto sicuro, che contiene almeno le seguenti informazioni:

1. nome dell’organizzazione, indirizzo postale, indirizzo e-mail, numeri di telefono e fax;

2. descrizione delle attività dell’organizzazione per quanto riguarda le informazioni personali ricevute dal [dell’Unione europea]; e

3. descrizione dell’organizzazione politica sulla privacy di tali informazioni personali, tra cui: (a) se l’informativa sulla privacy è disponibile per la visualizzazione da parte del pubblico, (b) la data effettiva di applicazione, (c) un ufficio di contatto per la gestione dei reclami , le richieste di accesso e qualsiasi altra questione che derivano dal porto sicuro, (d) l’organo statutario specifico che competente a conoscere eventuali reclami contro l’organizzazione relativi a possibili pratiche e violazioni di leggi o regolamenti che disciplinano la privacy (sleali o ingannevoli e che è elencato in allegato ai principi), (e) il nome dei programmi di privacy in cui l’organizzazione è membro, (f), metodo di verifica (ad esempio in-casa, terzi) … e (g) il meccanismo di ricorso indipendente è disponibile per indagare sui reclami non risolti.

Qualora l’organizzazione desidera i suoi benefici approdo sicuro a coprire l’informazione delle risorse umane trasferite dal [dell’Unione europea] per l’uso nel contesto del rapporto di lavoro, può farlo in cui vi è un organo statutario competente a conoscere delle azioni contro l’organizzazione derivante delle informazioni sulle risorse umane che è elencata nell’allegato ai principi. …

Il Dipartimento (o suo designato) manterrà un elenco di tutte le organizzazioni che tali lettere, assicurando così la disponibilità dei vantaggi dell’approdo sicuro, e vi aggiornerà tale elenco sulla base delle lettere annuali e le notifiche ricevute ai sensi FAQ 11. …

…

FAQ 11 – Risoluzione delle controversie e l’esecuzione

D: Come si deve i requisiti di risoluzione delle controversie del principio di esecuzione essere attuato, e come verrà gestita persistente incapacità di un’organizzazione di rispettare i principi?

R: Il principio di esecuzione stabilisce i requisiti per l’applicazione sicura porto. Come soddisfare i requisiti di cui al punto (b), del principio è enunciato nelle FAQ sulla verifica (FAQ 7). Questa FAQ 11 indirizzi punti (a) e (c), entrambi i quali richiedono meccanismi di ricorso indipendenti. Questi meccanismi possono assumere forme diverse, ma devono soddisfare i requisiti di titolo esecutivo Principio. Le organizzazioni possono soddisfare i requisiti attraverso il seguente: (1) la conformità con il settore privato ha sviluppato programmi di privacy che incorporano i principi di approdo sicuro nelle loro regole e che comprendono efficaci meccanismi di esecuzione del tipo descritto nel principio di esecuzione; (2) la conformità con le autorità di vigilanza di legge o regolamentari che prevedono la gestione di reclami individuali e la risoluzione delle controversie; o (3) l’impegno a collaborare con le autorità di protezione dei dati con sede nell’Unione europea o loro rappresentanti autorizzati. Questo elenco intende illustrativo e non limitativo. Il settore privato può progettare altri meccanismi per fornire l’applicazione, a condizione che essi soddisfano i requisiti del principio di esecuzione e le FAQ. Si prega di notare che i requisiti di titolo esecutivo Principio si aggiungono ai requisiti di cui al paragrafo 3 dell’introduzione ai principi che gli sforzi di autoregolamentazione devono essere esecutivo ai sensi dell’articolo 5 del Federal Trade Commission Act o statuto simile.

Meccanismi di ricorso

I consumatori dovrebbero essere incoraggiati a raccogliere eventuali reclami che possono avere con l’organizzazione in questione prima di procedere a meccanismi di ricorso indipendenti. …

…

FTC Azione

La FTC si è impegnata a rivedere su una priorità rinvii base ricevuti da organismi di autodisciplina della privacy, come BBBOnline e TRUSTe, e gli Stati membri dell’UE relativi alla non conformità con la cassaforte Harbour principi per determinare se la sezione 5 del FTC Act vieta sleale o atti o pratiche ingannevoli nel commercio è stata violata. …

… ‘

10 L’allegato IV della decisione 2000/520 recita:

‘I danni per violazione della privacy, autorizzazioni legali, fusioni e acquisizioni secondo la legge degli Stati Uniti

Ciò risponde alla richiesta da parte della Commissione europea di chiarimenti sulla legge statunitense per quanto riguarda (a) richieste di risarcimento danni per violazione della privacy, (b) “autorizzazioni esplicite” previste dalla legge degli Stati Uniti per l’uso di dati personali in un modo incompatibile con il principi dell’approdo sicuro, e (c) l’effetto delle fusioni e acquisizioni sugli obblighi assunti in applicazione dei principi Safe Harbor.

…

B. esplicite autorizzazioni legali

I poteri delle autorità nazionali di vigilanza, ai sensi dell’articolo 28 della direttiva 95/46, quando la Commissione ha adottato una decisione ai sensi dell’articolo 25 (6), di tale direttiva

38 Occorre ricordare anzitutto che le disposizioni della direttiva 95/46, in quanto disciplinano il trattamento dei dati personali che possono ledere le libertà fondamentali, in particolare il diritto al rispetto della vita privata, devono essere necessariamente interpretate alla luce di i diritti fondamentali garantiti dalla Carta (vedi sentenze Österreichischer Rundfunk e, C-465/00, C-138/01 e C-139/01, UE: C: 2003: 294, comma 68, Google Spagna e Google, C-131/12, UE: C: 2014: 317, punto 68, e Rynes, C-212/13, UE: C: 2014: 2428, punto 29).

39 Come risulta dall’articolo 1 della direttiva 95/46 e dei punti 2 e 10 nel preambolo che tale direttiva mira a garantire non solo efficace e completa tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare il diritto fondamentale al rispetto della la vita privata con riguardo al trattamento dei dati personali, ma anche un elevato livello di tutela di tali diritti e libertà fondamentali.

40 Per quanto riguarda le competenze di cui dispongono le autorità nazionali di vigilanza in materia di trasferimenti di dati personali verso paesi terzi, va osservato che l’articolo 28 (1), della direttiva 95/46 impone agli Stati membri di istituire una o più autorità pubbliche responsabili per monitoraggio, in piena indipendenza, rispetto delle norme UE sulla tutela delle persone fisiche con riguardo al trattamento di tali dati. Inoltre, tale obbligo deriva dalla legge primario dell’Unione europea, in particolare l’articolo 8 (3) della Carta e l’articolo 16 (2) TFUE (v, in tal senso, sentenze Commissione contro Austria, C-614/10 , UE: C: 2012: 631, punto 36, e Commissione contro l’Ungheria, C-288/12, UE: C: 2014: 237, punto 47).

41 La garanzia dell’indipendenza delle autorità nazionali di vigilanza ha lo scopo di assicurare l’efficacia e l’affidabilità del controllo del rispetto delle disposizioni in materia di tutela delle persone fisiche con riguardo al trattamento dei dati personali e deve essere interpretata alla luce di tale obiettivo. L’istituzione negli Stati membri di autorità di vigilanza indipendenti è dunque, come indicato al punto 62 del preambolo della direttiva 95/46, una componente essenziale della protezione delle persone fisiche con riguardo al trattamento dei dati personali (vedi sentenze Commissione contro la Germania, C-518/07, UE: C: 2010: 125, punto 25, e Commissione contro l’Ungheria, C-288/12, UE: C: 2014: 237, punto 48 e la giurisprudenza ivi citata).

42 Al fine di garantire tale protezione, le autorità di vigilanza nazionali devono, in particolare, garantire un giusto equilibrio tra, da un lato, il rispetto del diritto fondamentale alla privacy e, d’altra parte, gli interessi che richiedono libera circolazione dei dati personali (si veda, in tal senso, sentenze Commissione contro la Germania, C-518/07, UE: C: 2010: 125, punto 24, e Commissione contro l’Ungheria, C-288/12, UE: C: 2014: 237, paragrafo 51).

43 Le autorità di vigilanza nazionali hanno una vasta gamma di poteri a tal fine. Questi poteri, elencati su base non esaustivo di cui all’articolo 28 (3) della direttiva 95/46, costituiscono i mezzi necessari per svolgere i loro compiti, come indicato nel considerando 63 del preambolo della direttiva. Pertanto, tali autorità dispongono, in particolare, i poteri investigativi, come la facoltà di raccogliere tutte le informazioni necessarie per l’espletamento delle loro funzioni di vigilanza, poteri effettivi d’intervento, come quello di vietare a titolo provvisorio o definitivo un trattamento di dati, e il potere di promuovere azioni giudiziarie.

46 Considerando 60 della direttiva 95/46 prevede che i trasferimenti di dati personali verso paesi terzi possono essere effettuate esclusivamente nel pieno rispetto delle disposizioni adottate dagli Stati membri ai sensi della direttiva.

47 Come, in conformità dell’articolo 8 (3) della Carta e l’articolo 28 della direttiva 95/46, le autorità nazionali di vigilanza sono responsabili del controllo del rispetto delle norme UE in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali, ciascuno di essi è pertanto conferito il potere di verificare se un trasferimento di dati personali dal proprio Stato membro verso un paese terzo, è conforme ai requisiti previsti dalla direttiva 95/46.

50 Al fine di controllare i trasferimenti di dati personali verso paesi terzi a seconda del livello di protezione riconosciutagli in ciascuno di questi paesi, l’articolo 25 della direttiva 95/46 impone una serie di obblighi per gli Stati membri e la Commissione. E ‘evidente, in particolare, da tale articolo che la constatazione che un paese terzo fa o non garantisce un livello di protezione adeguato può, come rilevato dall’avvocato generale al paragrafo 86 delle sue conclusioni, essere fatta sia da parte degli Stati membri o da parte della Commissione.

51 La Commissione può adottare, sulla base dell’articolo 25 (6), della direttiva 95/46, una decisione che constata che un paese terzo garantisce un livello di protezione adeguato. Ai sensi del secondo comma di tale disposizione, tale decisione è indirizzata agli Stati membri, che devono adottare le misure necessarie per conformarvisi. Ai sensi del quarto comma dell’articolo 288 del TFUE, che è vincolante per tutti gli Stati membri a cui è rivolta ed è pertanto vincolante per tutti i loro organi (si veda, in tal senso, sentenze Albako Margarinefabrik, 249/85, UE: C : 1987: 245, punto 17, e Mediaset, C-69/13, UE: C: 2014: 71, punto 23), in quanto ha l’effetto di autorizzare trasferimenti di dati personali da parte degli Stati membri al paese terzo da essa contemplato.

Gli atti delle istituzioni dell’Unione europea sono in linea di principio presunzione di legittimità e producono pertanto effetti giuridici fino al momento in cui sono ritirati, annullati in un ricorso di annullamento o dichiarati invalidi a seguito di una domanda di pronuncia pregiudiziale o di un’eccezione di illegittimità (sentenza Commissione v Grecia, C-475/01, UE: C: 2004: 585, punto 18 e giurisprudenza ivi citata).

Allo stesso modo, come rilevato dall’avvocato generale in particolare ai punti 61, 93 e 116 delle sue conclusioni, una decisione di tale natura non può eliminare o ridurre i poteri espressamente accordati alle autorità nazionali di vigilanza di cui all’articolo 8 (3) della Carta e l’articolo 28 della direttiva.

56 Inoltre, sarebbe contrario al sistema istituito dalla direttiva 95/46 e l’obiettivo degli articoli 25 e l’articolo 28 per una decisione della Commissione adottata ai sensi dell’articolo 25 (6) per avere l’effetto di impedire un’autorità nazionale di vigilanza da esaminando l’affermazione di una persona in materia di tutela dei suoi diritti e libertà con riguardo al trattamento dei suoi dati personali che sono stati o che potrebbero essere trasferiti da uno Stato membro al paese terzo oggetto di tale decisione.

58 Se non fosse così, le persone i cui dati personali sono stati o potrebbero essere trasferiti al paese terzo interessato sarebbe negato il diritto, garantito dall’articolo 8 (1) e (3) della Carta, a costituire presso l’autorità di vigilanza nazionali una richiesta al fine di tutelare i loro diritti fondamentali (vedi, per analogia, sentenza Digital Rights Ireland e altri, C-293/12 e C-594/12, UE: C: 2014: 238, punto 68).

59 L’indicazione, ai sensi dell’articolo 28 (4), della direttiva 95/46, con la quale una persona i cui dati personali sono stati o che potrebbero essere trasferiti in un paese terzo fa valere, come nella causa principale, che, nonostante ciò che la Commissione ha trovato in una decisione adottata ai sensi dell’articolo 25 (6), di tale direttiva, la legge e le pratiche di quel paese non garantisce un livello di protezione adeguato deve essere intesa come riguardante, in sostanza, se tale decisione sia compatibile con la tutela dei la privacy e dei diritti e delle libertà fondamentali delle persone.

60 A questo proposito, giurisprudenza costante della Corte, occorre ricordare, secondo la quale l’Unione europea è un’unione basata sullo Stato di diritto in cui tutti gli atti delle sue istituzioni sono soggette al controllo della loro compatibilità con, in particolare, dai trattati , i principi generali del diritto e dei diritti fondamentali (si veda, in tal senso, sentenze Commissione e altri contro Kadi, C-584/10 P, C-593/10 P e C-595/10 P, Ue: C: 2013: 518, punto 66; Inuit Tapiriit Kanatami e altri contro Parlamento e Consiglio, C-583/11 P, Ue: C: 2013: 625, punto 91, e Telefónica contro Commissione, C-274/12 P, Ue: C: 2013 : 852, punto 56). Le decisioni della Commissione adottate ai sensi dell’articolo 25 (6), della direttiva 95/46 non possono quindi sfuggire tale riesame.

61 Detto questo, la Corte è competente a dichiarare che un atto comunitario, come ad esempio una decisione della Commissione adottata ai sensi dell’articolo 25 (6), della direttiva 95/46, non è valido, l’esclusività di tale competenza che ha lo scopo di garantire la certezza del diritto garantendo che il diritto dell’UE viene applicato in modo uniforme (vedi sentenze Melki e Abdeli, C-188/10 e C-189/10, UE: C: 2010: 363, punto 54, e CIVAD, C-533/10, UE: C: 2012: 347, punto 40).

A maggior ragione, quando le autorità di vigilanza nazionali esaminare un reclamo, ai sensi dell’articolo 28 (4), di tale direttiva, per quanto riguarda la compatibilità di una decisione della Commissione adottata ai sensi dell’articolo 25 (6), della direttiva con la tutela della privacy e dei diritti e delle libertà fondamentali delle persone, non hanno diritto a dichiarare che la decisione invalide.

63 Alla luce di tali considerazioni, in cui una persona i cui dati personali sono stati o potrebbero essere trasferiti in un paese terzo che è stato oggetto di una decisione della Commissione ai sensi dell’articolo 25 (6), della direttiva 95/46 logge con un’autorità nazionale di vigilanza un reclamo riguardante la tutela dei suoi diritti e libertà con riguardo al trattamento di tali dati e concorsi, nel portare il credito, come nella causa principale, la compatibilità di tale decisione con la tutela della privacy e dei diritti e delle libertà fondamentali degli individui, è compito dell’autorità nazionale di controllo per esaminare il reclamo con la dovuta diligenza.

64 In una situazione in cui l’autorità nazionale di vigilanza giunge alla conclusione che gli argomenti addotti a sostegno di tale affermazione sono infondate e respinge quindi, la persona che ha presentato il reclamo deve, come risulta dal secondo comma dell’articolo 28 ( 3), della direttiva 95/46, letto alla luce dell’articolo 47 della Carta, hanno accesso a mezzi di ricorso che gli consentano di impugnare tale decisione che arreca pregiudizio dinanzi ai giudici nazionali. Vista la giurisprudenza citata ai punti 61 e 62 della presente sentenza, i tribunali devono sospendere la decisione e un riferimento alla Corte in via pregiudiziale sulla validità qualora ritengano che uno o più motivi di nullità dedotti dalla parti o, se del caso, sollevata da loro d’ufficio sono fondati (v, in tal senso, sentenza T & L Zuccheri e Sidul Açúcares contro Commissione, C-456/13 P, Ue: C: 2015 : 284, punto 48 e la giurisprudenza ivi citata).

65 Nella situazione opposta, se l’autorità nazionale di vigilanza ritiene che le obiezioni avanzate dalla persona che ha presentato con una domanda relativa alla tutela dei suoi diritti e libertà con riguardo al trattamento dei suoi dati personali sono fondati, detta autorità deve , in conformità con il terzo trattino del primo comma dell’articolo 28 (3) della direttiva 95/46, letto alla luce, in particolare, l’articolo 8 (3) della Carta, in grado di avviare azioni legali.

66 Alla luce delle considerazioni che precedono, occorre risolvere le questioni pregiudiziali dichiarando che l’art 25 (6), della direttiva 95/46, letto alla luce degli articoli 7, 8 e 47 della Carta, deve essere interpretato nel senso che una decisione adottate ai sensi di tale disposizione, come la decisione 2000/520, con cui la Commissione constati che un paese terzo garantisce un livello di protezione adeguato, non impedisce un’autorità di vigilanza di uno Stato membro, ai sensi dell’articolo 28 della medesima direttiva, di esaminare la richiesta di una persona per quanto riguarda la tutela dei suoi diritti e libertà con riguardo al trattamento dei dati personali che lo riguardano, che sono stati trasferiti da uno Stato membro nel paese terzo in cui la persona afferma che la legge e la prassi in vigore in il paese terzo non garantisce un livello di protezione adeguato.

Come l’avvocato generale ha osservato ai paragrafi 123 e 124 delle sue conclusioni, il sig Schrems esprime dubbi, che il giudice del rinvio sembra infatti essenzialmente per condividere, in merito alla validità della decisione 2000/520. In tali circostanze, tenuto conto di quanto è stato dichiarato ai punti 60 a 63 della presente sentenza e al fine di dare al giudice del rinvio una risposta completa, occorre esaminare se tale decisione è conforme ai requisiti derivanti dalla direttiva 95/46 lettura alla luce della Carta.

Gli obblighi derivanti dall’articolo 25 (6), della direttiva 95/46

68 Come è già stato rilevato ai punti 48 e 49 della presente sentenza, l’articolo 25 (1), della direttiva 95/46 vieta il trasferimento di dati personali verso un paese terzo non garantisce un livello di protezione adeguato.

70 È vero che né l’articolo 25 (2), della direttiva 95/46, né alcun’altra disposizione della direttiva contiene una definizione della nozione di un adeguato livello di protezione. In particolare, l’articolo 25 (2) non fa altro che affermare che l’adeguatezza del livello di protezione garantito da un paese terzo ‘deve essere valutata alla luce di tutte le circostanze relative ad un trasferimento o ad di trasferimento dati attività’ e liste, su base non esaustivo, le circostanze in cui deve essere data considerazione nello svolgimento di tale valutazione.

71 Tuttavia, in primo luogo, come risulta dalla stessa formulazione dell’articolo 25 (6), della direttiva 95/46, tale disposizione prevede che un paese terzo ” garantisce un adeguato livello di tutela in virtù della sua legislazione nazionale o dei suoi impegni internazionali. In secondo luogo, secondo la stessa disposizione, l’adeguatezza della tutela assicurata dal paese terzo è valutata ‘per la tutela della vita privata o delle libertà e dei diritti dell’individuo’.

72 Pertanto, l’articolo 25 (6), della direttiva 95/46 implementa l’obbligazione espressa di cui all’articolo 8 (1) della Carta per la protezione dei dati personali e, come rilevato dall’avvocato generale al paragrafo 139 delle sue conclusioni, ha lo scopo di garantire che il livello di tale protezione continua in cui i dati personali vengano trasferiti in un paese terzo.

73 La parola ‘adeguata’ di cui all’articolo 25 (6), della direttiva 95/46 significa certamente che un paese terzo non può essere tenuta a garantire un livello di protezione identico a quello garantito nell’ordinamento giuridico comunitario. Tuttavia, come rilevato dall’avvocato generale al paragrafo 141 delle sue conclusioni, ‘adeguato livello di protezione’ il termine deve essere inteso come richiede il paese terzo in realtà per garantire, in virtù della sua legislazione nazionale o dei suoi impegni internazionali, un livello di tutela dei diritti e delle libertà fondamentali che è sostanzialmente equivalente a quello garantito in seno all’Unione europea in virtù della direttiva 95/46 letto alla luce della Carta. Se non ci fosse tale requisito, l’obiettivo cui verrebbe trascurato al punto precedente della presente sentenza. Inoltre, l’elevato livello di tutela garantito dalla direttiva 95/46, letto alla luce della Carta potrebbe essere facilmente aggirato da trasferimenti di dati personali da parte dell’Unione europea verso i paesi terzi al fine di essere trasformati in quei paesi.

74 Infatti, dalla formulazione stessa dell’articolo 25 (6), della direttiva 95/46 che è l’ordinamento giuridico del paese terzo coperta dalla decisione della Commissione che deve garantire un adeguato livello di protezione. Anche se i mezzi di cui tale paese terzo ricorre, a tale proposito, al fine di garantire un tale livello di protezione possono essere diversi da quelli impiegati all’interno dell’Unione Europea per garantire che i requisiti derivanti dalla direttiva 95/46 in lettura la luce della Carta siano rispettate, i mezzi devono tuttavia rivelarsi, in pratica, efficace al fine di assicurare una protezione sostanzialmente equivalente a quella garantita all’interno dell’Unione europea.

75 Di conseguenza, in sede di esame del livello di protezione garantito da un paese terzo, la Commissione è tenuta a valutare il contenuto delle norme applicabili in tale paese derivanti dalla sua legislazione nazionale o impegni internazionali e la pratica progettato per garantire il rispetto di tali norme, dal momento che essa deve, ai sensi dell’articolo 25 (2), della direttiva 95/46, tener conto di tutte le circostanze relative ad un trasferimento di dati personali verso un paese terzo.

È necessaria tale controllo, in ogni caso, quando la prova dà luogo ad un dubbio al riguardo.

Risulta da tale disposizione che sia tali principi e le domande frequenti sono state emesse dal Dipartimento del Commercio degli Stati Uniti.

80 Un’organizzazione aderisce ai principi Safe Harbor sulla base di un sistema di autocertificazione, come risulta dall’articolo 1 (2) e (3), della decisione 2000/520, in combinato disposto con FAQ 6 di cui all’allegato II ad esso.

81 Mentre il ricorso da un paese terzo ad un sistema di autocertificazione non è di per sé in contrasto con il requisito di cui all’articolo 25 (6), della direttiva 95/46 che il paese terzo interessato deve garantire un adeguato livello di protezione ‘a motivo della sua legislazione nazionale o … alla luce di tale requisito, si fonda impegni internazionali “, l’affidabilità di un tale sistema, essenzialmente sulla creazione di meccanismi di rilevamento e di controllo efficaci che consentano eventuali infrazioni alle norme che garantiscono la tutela dei diritti fondamentali, in particolare del diritto al rispetto della vita privata e il diritto alla protezione dei dati personali, devono essere individuati e puniti in pratica.

82 Nel caso di specie, in virtù del secondo comma, dell’allegato I della decisione 2000/520, i principi dell’approdo sicuro sono ‘destinati ad essere utilizzati esclusivamente da organizzazioni americane che ricevono dati personali dall’Unione europea ai fini della qualificazione per il porto sicuro e la presunzione di “adeguatezza” crea ‘. Tali principi sono quindi applicabili esclusivamente alle organizzazioni di auto-certificazione degli Stati Uniti la ricezione di dati personali da parte dell’Unione europea e degli Stati Uniti le autorità pubbliche non sono tenuti a rispettarle.

83 Inoltre, la decisione 2000/520, ai sensi dell’articolo 2, ‘riguarda soltanto l’adeguatezza della protezione fornita negli Stati Uniti secondo i principi Safe Harbor [] attuata in conformità alle FAQ, al fine di soddisfare i requisiti di cui all’articolo 25 ( 1), della direttiva [95/46] ‘, senza, tuttavia, che contiene i risultati sufficienti sulle misure con cui gli Stati Uniti garantisce un livello di protezione adeguato, ai sensi dell’articolo 25 (6), di tale direttiva, a causa della sua legislazione nazionale o dei suoi impegni internazionali.

84 Inoltre, ai sensi del quarto comma, dell’allegato I della decisione 2000/520, l’applicabilità dei principi dell’approdo sicuro può essere limitata, in particolare, ‘nella misura necessaria a soddisfare la sicurezza nazionale, interesse pubblico o esigenze dell’applicazione della legge’ e ‘per statuto, regolamento governativo o giurisprudenza che comportino obblighi contrastanti od autorizzazioni esplicite, a condizione che, nell’esercizio di tali autorizzazioni, un’organizzazione può dimostrare che il mancato rispetto dei Principi è limitata a quanto necessario per soddisfare l’imperativo legittimi interessi da detta autorizzazione ‘.

85 A questo proposito, la decisione 2000/520 stati in parte B dell’allegato IV, per quanto riguarda i limiti ai quali i principi Safe Harbor ‘applicabilità è subordinata, che, «[c] learly, dove la legge statunitense impone un’obbligazione conflittuale, Stati Uniti organizzazioni sia nel porto sicuro o meno devono rispettare la legge ‘.

86 Pertanto, la decisione 2000/520 stabilisce che ‘sicurezza nazionale, interesse pubblico, o di applicazione di legge richieste’ hanno prevalenza sul principi dell’approdo sicuro, il primato in base al quale le organizzazioni di auto-certificazione degli Stati Uniti che ricevono dati personali dall’Unione europea sono tenuti a prescindere da questi principi, senza limitazioni in caso di contraddizione con tali requisiti e, pertanto, risultano incompatibili con esse.

87 Alla luce del carattere generale della deroga di cui al quarto comma, dell’allegato I della decisione 2000/520 tale decisione, permette l’interferenza, fondato su requisiti di sicurezza nazionale e di interesse pubblico o sulla legislazione nazionale degli Stati Uniti, con i diritti fondamentali delle persone i cui dati personali sono o potrebbero essere trasferiti dall’Unione europea agli Stati Uniti. Per stabilire l’esistenza di una interferenza con il diritto fondamentale al rispetto della vita privata, non importa se le informazioni in questione relativa alla vita privata è sensibile o se gli interessati hanno subito conseguenze negative a causa di tale interferenza (sentenza Digital Rights Ireland e altri, C-293/12 e C-594/12, UE: C: 2014: 238, punto 33 e la giurisprudenza ivi citata).

89 Né la decisione 2000/520 si riferiscono l’esistenza di una protezione giuridica efficace contro le interferenze di questo tipo.

90 Inoltre, la precedente analisi della decisione 2000/520 è confermata dalla stessa valutazione della Commissione sulla situazione derivante dall’applicazione di tale decisione. In particolare ai punti 2 e 3.2 della comunicazione COM (2013) 846 def e ai punti 7.1, 7.2 e 8 della comunicazione COM (2013) 847 def, il cui contenuto è riportato nei punti 13 a 16 e paragrafi 22, 23 e 25 della presente sentenza, rispettivamente, la Commissione ha constatato che le autorità degli Stati Uniti sono stati in grado di accedere ai dati personali trasferiti dagli Stati membri verso gli Stati Uniti ed elaborare in modo incompatibile, in particolare, con le finalità per cui è stato trasferito, al di là di quanto strettamente necessario e proporzionato alla tutela della sicurezza nazionale. Inoltre, la Commissione ha rilevato che le persone interessate non avevano mezzi amministrativi o giudiziari di ricorso consentono, in particolare, i dati relativi al loro di essere accessibili e, a seconda dei casi può essere, rettificato o cancellato.

91 Per quanto riguarda il livello di tutela dei diritti e delle libertà fondamentali che è garantito in seno all’Unione europea, la legislazione UE coinvolgendo interferenza con i diritti fondamentali garantiti dagli articoli 7 e 8 della Carta deve, secondo costante giurisprudenza della Corte, stabilire regole chiare e precise che disciplinano la portata e l’applicazione di una misura e imponenti garanzie minime, in modo che le persone i cui dati personali è interessato avere garanzie sufficienti che consentano loro dati devono essere efficacemente protetti contro i rischi di abusi e contro ogni accesso illegale e l’uso di tale dati.

92 Inoltre, e soprattutto, la tutela del diritto fondamentale al rispetto della vita privata a livello UE richiede deroghe e le limitazioni in materia di protezione dei dati personali, di applicare solo nella misura strettamente necessaria (sentenza Digital Rights Irlanda e, C-293/12 e C-594/12, UE: C: 2014: 238, punto 52 e la giurisprudenza ivi citata).

94 In particolare, la legislazione consente alle pubbliche autorità di avere accesso in maniera generalizzata al contenuto delle comunicazioni elettroniche deve essere considerato come compromettere l’essenza del diritto fondamentale al rispetto della vita privata, come garantito dall’articolo 7 della Carta (vedi, in tal senso, sentenza Digital Rights Ireland e altri, C-293/12 e C-594/12, UE: C: 2014: 238, punto 39).

95 Allo stesso modo, la legislazione non prevede alcuna possibilità per un individuo di perseguire i rimedi giuridici al fine di avere accesso ai dati personali che lo riguardano, o per ottenere la rettifica o la cancellazione di tali dati, non rispetta l’essenza del diritto fondamentale alla efficace tutela giurisdizionale, come sancito dall’articolo 47 della Carta. Il primo comma dell’articolo 47 della Carta richiede tutti coloro i cui diritti e le cui libertà garantiti dal diritto dell’Unione europea siano stati violati per avere il diritto a un ricorso effettivo dinanzi a un giudice, nel rispetto delle condizioni previste da tale articolo.

96 Come è stato trovato in particolare ai punti 71, 73 e 74 della presente sentenza, in modo che la Commissione di adottare una decisione ai sensi dell’articolo 25 (6), della direttiva 95/46, deve trovare, debitamente una motivazione, che il paese terzo interessato assicura infatti, in virtù della sua legislazione nazionale o dei suoi impegni internazionali, un livello di protezione dei diritti fondamentali sostanzialmente equivalente a quello garantito nell’ordinamento giuridico comunitario, un livello che risulta in particolare dai precedenti paragrafi del presente sentenza.

97 Tuttavia, la Commissione non ha indicato, nella decisione 2000/520, che gli Stati Uniti, infatti, ‘assicura’ un livello adeguato di tutela in virtù della sua legislazione nazionale o dei suoi impegni internazionali.

98 Di conseguenza, senza che sia necessario esaminare il contenuto dei principi di approdo sicuro, è che deve essere concluso che l’articolo 1 della decisione 2000/520 non rispetta i requisiti di cui all’articolo 25 (6), della direttiva 95/46 , letta alla luce della Carta, e che è quindi valido.

L’articolo 3 della decisione 2000/520

99 Come risulta dalle considerazioni di cui ai punti 53, 57 e 63 della presente sentenza, che, ai sensi dell’articolo 28 della direttiva 95/46, letto alla luce, in particolare, l’articolo 8 della Carta, le autorità di vigilanza nazionali devono essere in grado di esaminare, in piena indipendenza, qualsiasi pretesa in materia di tutela dei diritti e delle libertà di una persona in relazione al trattamento dei dati personali che lo riguardano. Questo è in particolare il caso in cui, nel portare una tale affermazione, quella persona solleva interrogativi circa la compatibilità di una decisione della Commissione adottata ai sensi dell’articolo 25 (6), di tale direttiva con la tutela della privacy e dei diritti e delle libertà fondamentali individui.

100 Tuttavia, il primo comma dell’articolo 3 (1), della decisione 2000/520 stabilisce norme specifiche riguardanti i poteri di cui dispongono le autorità nazionali di vigilanza, alla luce di una Commissione constatazione relativa ad un livello di protezione adeguato ai sensi dell’articolo 25 della direttiva 95/46.

101 In base a tale disposizione, le autorità nazionali di vigilanza possono, ‘[w] atte salve loro poteri di intervenire per garantire il rispetto delle disposizioni nazionali adottate in applicazione di disposizioni diverse dall’articolo 25 della direttiva [95/46], … sospendere flussi di dati verso un’organizzazione che ha autocertificato la propria adesione ai principi della decisione [2000/520] ‘, a condizioni restrittive che istituiscono una soglia elevata per l’intervento.

104 Ciò premesso, si deve constatare che, adottando l’articolo 3 della decisione 2000/520, la Commissione ha oltrepassato il potere che è ad essa conferiti dall’articolo 25 (6), della direttiva 95/46, letto alla luce della Carta , e che l’articolo 3 della decisione è pertanto invalida.

106 Alla luce di tutte le considerazioni che precedono, si deve concludere che la decisione 2000/520 non è valido.

Costi

107 Nei confronti delle parti nella causa principale il carattere di un incidente sollevato dinanzi al giudice del rinvio, la decisione sulle spese

Le spese sostenute per presentare osservazioni alla Corte, diverse da quelle delle dette parti, non possono dar luogo a rifusione.

Per questi motivi, la Corte (Grande Sezione) dichiara:

2. La decisione 2000/520 non è valida.