Data Protection Commissioner c. Facebook Ireland Limited, Maximillian Schrems, Causa C-311/18, CGUE (Grande Camera), 16 luglio 2020

Protezione dei dati personali nel trasferimento a fini commerciali di dati verso paesi terzi e poteri delle autorità di controllo. Trattamento da parte delle pubbliche autorità di paesi terzi di dati personali trasferiti ai fini di sicurezza nazionale e garanzie appropriate da parte del titolare del trattamento.

Art. 7, 8 e 47 CDFUE

L’articolo 2, paragrafi 1 e 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che rientra nell’ambito di applicazione di tale regolamento un trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un altro operatore economico stabilito in un paese terzo, nonostante il fatto che, durante o in seguito a tale trasferimento, i suddetti dati possano essere sottoposti a trattamento da parte delle autorità del paese terzo considerato a fini di sicurezza pubblica, di difesa e sicurezza dello Stato. Al contempo, le garanzie adeguate, i diritti azionabili e i mezzi di ricorso effettivi richiesti da tali disposizioni devono garantire che i diritti delle persone i cui dati personali sono trasferiti verso un paese terzo godano di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da tale regolamento, letto alla luce della Carta dei diritti fondamentali dell’Unione europea. A tal fine, la valutazione del livello di protezione garantito nel contesto di un trasferimento siffatto deve, in particolare, prendere in considerazione tanto le clausole contrattuali convenute tra il titolare del trattamento o il responsabile del trattamento stabiliti nell’Unione e il destinatario del trasferimento stabilito nel paese terzo interessato quanto, per quel che riguarda un eventuale accesso delle autorità pubbliche di tale paese terzo ai dati personali così trasferiti, gli elementi rilevanti del sistema giuridico di quest’ultimo. 

C-362/14