Edoardo Chiti, Alberto di Martino, Gianluigi Palombella (a cura di)
L'era dell'interlegalità
DOI: 10.1401/9788815370334/c8
In ambito sovranazionale si registrano due sentenze di estrema rilevanza in materia [42]
, ccdd. Schrems I [43]
e Schrems II [44]
, alla cui origine vi è la denuncia presentata da M. Schrems al Commissario per la protezione dei dati irlandese al fine di impedire il trasferimento dei propri dati personali da Facebook Ireland a Facebook Inc., negli Stati Uniti, a causa dell’accesso libero e incondizionato dei servizi segreti statunitensi ai dati contenuti nei server di Facebook Inc. In entrambe le occasioni la Corte di giustizia dell’Unione europea (CGUE) ha invalidato le decisioni della Commissione sull’adeguatezza del regime di protezione dei dati tra Unione europea e Stati Uniti [45]
, riscontrando che questi ultimi non garantiscono ai cittadini europei un livello di protezione dei dati personali sostanzialmente equivalente a quello assicurato dal diritto dell’Unione. In particolare, la CGUE ha rinvenuto nell’accesso generalizzato ai dati da parte delle autorità di intelligence statunitensi un’ingerenza non proporzionata nei diritti fondamentali al rispetto della
{p. 206}vita personale e al trattamento dei dati personali, di cui agli artt. 7 e 8 CFDUE, e nell’impossibilità di far valere i diritti individuali dinanzi a un giudice una violazione del contenuto essenziale del diritto a una tutela giurisdizionale effettiva, ai sensi dell’art. 47 CDFUE [46]
.
Gli elementi distintivi di tali sentenze, per ciò che rileva in questa sede, sono due, tra loro interconnessi: da un lato, l’analisi della CGUE verte su condotte esterne, poste in essere dalle autorità pubbliche degli Stati Uniti al di fuori del territorio dell’Unione; dall’altro, le disposizioni su cui è imperniata la valutazione della (in)adeguatezza del regime statunitense di protezione dei dati sono contenute nella CDFUE, un atto di diritto primario interno. Inoltre, il principio di sostanziale equivalenza della protezione dei dati personali implicitamente impone a quei Paesi che intendano scambiare dati con soggetti stabiliti negli Stati membri un obbligo di adeguamento della propria normativa nazionale a quella europea, di fatto estendendo la tutela dei diritti fondamentali assicurata dall’Unione al di là dei propri confini territoriali [47]
. Le sentenze Schrems potrebbero costituire il punto di partenza di un dibattito più articolato sull’applicazione extraterritoriale dei diritti fondamentali [48]
.
La Corte europea dei diritti dell’uomo (Corte EDU) ha seguito un approccio più indulgente [49]
nella sentenza{p. 207} Big Brother Watch e al. c. Regno Unito [50]
, attualmente pendente dinanzi alla Grande Camera [51]
, relativa alle denunce presentate da vari giornalisti, attivi nelle campagne dei diritti civili, che ritenevano che le proprie comunicazioni fossero state intercettate dai servizi segreti britannici o dai servizi segreti stranieri in collaborazione con quelli britannici [52]
. In tale occasione la Corte EDU si è pronunciata per la prima volta sul sistema di scambio e condivisione di dati tra agenzie di intelligence britanniche e statunitensi (c.d. intelligence sharing), nel contesto dei programmi di sorveglianza elettronica UPSTREAM e PRISM, non riscontrando alcuna lesione del diritto dei ricorrenti al rispetto della vita personale (art. 8 CEDU). Al contrario, in relazione alla normativa nazionale sulla sorveglianza delle comunicazioni esterne, il Regno Unito è stato condannato sia per la carenza di effettivi mezzi di tutela e forme di vigilanza sul processo di selezione ed elaborazione dei dati acquisiti, in violazione dell’art. 8 CEDU, sia per la mancanza di misure idonee a tutelare la riservatezza delle comunicazioni, in violazione dell’art. 10 CEDU.
I passaggi della sentenza meritevoli di attenzione sono due. Anzitutto, per esaminare la legittimità del regime britannico di sorveglianza esterna, la Corte EDU parte dal presupposto che le attività di intercettazione delle comunicazioni ricadano nella giurisdizione del Regno Unito dal momento che il Governo britannico non aveva sollevato {p. 208}alcuna eccezione in relazione all’art. 1 CEDU, né aveva suggerito che tali attività avvenissero al di fuori della giurisdizione territoriale nazionale (§271). Si osservi, tuttavia, che il fatto che le operazioni di sorveglianza elettronica vengano poste in essere nel Regno Unito non implica che i destinatari di tali operazioni si trovino anch’essi nel Regno Unito: il ragionamento della Corte EDU sembra solo implicare – senza affermarlo esplicitamente [53]
– che le operazioni di sorveglianza rientrano nell’ambito applicativo della CEDU per la semplice ragione di essere condotte nel territorio di uno Stato contraente, anche se i destinatari si trovano all’estero. In secondo luogo, con riferimento alle attività di intelligence sharing, la Corte EDU prende in considerazione le sole intercettazioni condotte dalle agenzie statunitensi e poi trasmesse alle agenzie britanniche, e non (anche) viceversa [54]
. Rilevando che tali attività erano state svolte sotto il pieno controllo delle agenzie straniere, la Corte EDU esclude la responsabilità del Regno Unito, che avrebbe potuto essere invocata solamente se le agenzie britanniche avessero esercitato la propria autorità o il proprio controllo su quelle statunitensi (§420).
Nella sentenza di specie la Corte EDU non si sofferma sull’efficacia extraterritoriale delle garanzie consacrate nella CEDU, limitandosi a richiamare incidentalmente il criterio del c.d. effective control [55]
, elaborato sulla base dell’art. 1 CEDU, secondo cui le attività statali condotte all’estero o nei confronti di soggetti situati all’estero determinano la responsabilità degli Stati contraenti se sono svolte sotto il loro {p. 209}controllo effettivo [56]
. La Corte EDU perde dunque l’occasione per definire in modo sistematico e rigoroso, nell’ambito della sorveglianza elettronica esterna, quali siano le circostanze fattuali al cui verificarsi la CEDU trovi applicazione e quali siano i principi generali a cui gli Stati contraenti debbano attenersi. L’attesa decisione della Grande Camera potrebbe chiarire meglio la questione, indicando, per esempio se la nazionalità dei ricorrenti costituisca un fattore dirimente nell’estensione delle garanzie convenzionali all’estero [57]
.

5. Diritti umani e diritti fondamentali in un recente «leading case» del Tribunale costituzionale federale tedesco

Nella sentenza 1 BvR 2835/17 del 19 maggio 2020 [58]
, il Tribunale costituzionale federale della Germania (Tribunale) prende una posizione molto innovativa sulla questione dell’efficacia extraterritoriale dei diritti fondamentali, accogliendo il ricorso in cui sette giornalisti (di cui uno solo con cittadinanza tedesca) e una ONG con sede in Francia, attivi nelle denunce delle violazioni dei diritti umani nelle zone di guerra e nei regimi autoritari, lamentavano di essere stati intercettati dai servizi segreti tedeschi [59]
in violazione degli artt. 5 (libertà di stampa e informazione) e 10 (diritto {p. 210}alla riservatezza delle telecomunicazioni) della Costituzione tedesca (Grundgesetz, GG). Per la prima volta [60]
il Tribunale afferma che «i diritti fondamentali della Costituzione tedesca vincolano i servizi segreti e il legislatore che ne ha disciplinato i poteri indipendentemente dal fatto che i servizi siano attivi all’interno o all’esterno del paese» [61]
(§ 87), sottolineando che altrimenti, in un settore caratterizzato da un’azione intrusiva dello Stato come quello della sorveglianza strategica, soprattutto alla luce dei recenti sviluppi della tecnologia informatica e, conseguentemente, dell’assenza di limiti spaziali nell’accesso e nello scambio dei dati, i diritti fondamentali rimarrebbero privi di tutela (§§ 105-110).
Partendo dal tenore letterale dell’art. 1, c. 3, GG, secondo cui «[i] diritti fondamentali vincolano la legislazione, il potere esecutivo e la giurisdizione come diritti direttamente applicabili», il Tribunale segnala che da nulla traspare che la validità di tale disposizione debba limitarsi al territorio tedesco (precisando che questo vale, ad ogni modo, per i diritti fondamentali nella loro dimensione di diritti di difesa contro le interferenze statali, quali sono le misure di sorveglianza [§ 88]). Il silenzio della GG sull’estensione dei diritti fondamentali alle attività statali condotte all’estero potrebbe essere interpretato come una restrizione dell’efficacia di tali diritti al solo territorio tedesco; tuttavia il Tribunale rigetta questa impostazione sulla base del preambolo alla GG e degli artt. 24 e 25 GG, che testimoniano l’apertura internazionale del testo costituzionale e la collocazione della Repubblica federale nel consesso delle nazioni, e, anzi, conclude che, sebbene in sede costituente non si fosse affrontata la questione della vincolatività dei diritti fondamentali all’estero e le attività di sorveglianza strategica non fossero allora
{p. 211}immaginabili, l’intento della GG di assicurare una tutela comprensiva dei diritti fondamentali suggerisce che essa debba garantirsi a prescindere da dove e nei confronti di chi agiscano le autorità statali (§ 89). Dunque il vincolo costituzionale dei diritti fondamentali sussiste anche se la limitazione degli stessi avviene al di fuori del territorio tedesco, seppur con la delimitazione della dimensione difensiva dei diritti (così anche § 104).
Note
[42] Per una riflessione generale sulla sfera spaziale di applicazione della CDFUE, cfr. V. Moreno-Lax e C. Costello, The Extraterritorial Application of the EU Charter of Fundamental Rights: From Territoriality to Facticity, the Effectiveness Model, in S. Peers et al., Commentary on the EU Charter of Fundamental Rights, Oxford, Hart, 2014, pp. 1657-1683, in cui è puntualmente argomentato che le disposizioni di Trattati non creano ostacoli all’applicazione extraterritoriale del diritto dell’Unione e, nello specifico, della CDFUE (p. 1682).
[43] CGUE, 6 ottobre 2015, C362/14, sui cui si rinvia a R. Bifulco, La sentenza Schrems e la costruzione del diritto europeo della privacy, in «Giur.cost.», 2016, pp. 289 ss.; S. Crespi, La tutela dei dati personali UE a seguito della sentenza Schrems, in «Eurojus», 2 novembre 2015.
[44] CGUE, 16 luglio 2020, C311/18, su cui si rinvia a R. Bifulco, Il trasferimento dei dati personali nella sentenza Schrems II: dal contenuto essenziale al principio di proporzionalità e ritorno, in «DPERonline», 2020, n. 2; O. Pollicino, Diabolical Persistence. Thoughts on the Schrems II Decision, in «Verfassungsblog», 25 luglio 2020.
[45] In Schrems I viene invalidata la dec. 2000/520 di esecuzione dell’accordo cd. Safe Harbor; in Schrems II viene invalidata la dec. 2016/1250 di esecuzione del nuovo accordo cd. Privacy Schield.
[46] Si precisa che la CGUE in Schrems I si è pronunciata solamente sugli artt. 7 e 47 CDFUE (cfr. V.M. Pfisterer, The Right to Privacy – A Fundamental Right in Search of Its Identity: Uncovering the CJEU’s Flawed Concept of the Right to Privacy, in «German Law Journal», 2019, p. 732, e in Schrems II ha considerato anche l’art. 8 CDFUE.
[47] In termini analoghi, cfr. O. Pollicino e M. Bassini, La Carta dei diritti fondamentali dell’Unione europea nel «reasoning» dei giudici di Lussemburgo, in «Dir. Inform.», 2015, pp. 741 ss., 752.
[48] Cfr. C. Gentile, La saga Schrems e la tutela dei diritti fondamentali, in www.federalismi.it, 13 gennaio 2021.
[49] In ragione della minore rigidità della Corte EDU rispetto alla CGUE si è parlato di «frammentazione» del diritto europeo alla protezione dei dati e della privacy (C. Christakis, A fragmentation of EU/ECHR law on mass surveillance: initial thoughts on the Big Brother Watch judgment, in «EuLawBlog», 20 settembre 2020).
[50] Corte EDU, 13 settembre 2018, ricc. 58170/13, 62322/14 e 24960/15.
[51] Per asserito contrasto con la precedente Corte EDU, 19 giugno 2918, ric. 35252/08, Centrum för Rättvisa c. Svezia. Sul punto si rinvia a V. Rusinova, A European Perspective on Privacy and Mass Surveillance at the Crossroads, Higher School of Economics, WP BRP 87/LAW/2019, 6 marzo 2019.
[52] Per una chiara esposizione dei fatti di causa e del ragionamento seguito dalla Corte EDU, v. G. Tiberi, Il caso Big Brother Watch quale cambio di paradigma nel bilanciamento tra sicurezza e tutela dei diritti fondamentali?, in «Quad. cost.», 2018, pp. 931 ss.; B. van der Sloot e E. Kosta, Big Brother Watch and Others v. UK: Lessons from the Latest Strasbourg Ruling on Bulk Surveillance, in «European Data Protection Law Review», 2019, pp. 252 ss.
[53] Cfr. M. Milanovic, ECtHR Judgment in Big Brother Watch v. UK, in www.ejiltalk.org, 17 settembre 2018.
[54] Cfr. ibidem.
[55] Sulle diverse declinazioni del concetto di effective control si rinvia a: S. Besson, The Extraterritoriality of the European Convention on Human Rights: Why Human Rights Depend on Jurisdiction and What Jurisdiction Amounts to, in «Leiden Journal of International Law», 25, 2012, pp. 857 ss.; M. Gondek, Extraterritorial Application of The European Convention on Human Rights: Territorial Focus in the Age of Globalization?, in «Netherlands International Law Review», 52, 2005, pp. 349 ss.
[56] La giurisprudenza della Corte EDU in materia concerne principalmente la lotta al terrorismo, le operazioni militari all’estero e il principio di non refoulement. Sugli sviluppi più recenti, v. V. Stoyanova, M.N. and Others v Belgium: no ECHR protection from refoulement by issuing visas, in www.ejiltalk.org, 12 maggio 2020.
[57] Cfr. I. Cameron, Regulating Signals intelligence, in www.strasbourgobservers.com, 13 luglio 2020.
[58] Per un’attenta analisi si rinvia a R. Bifulco, L’efficacia extraterritoriale dei diritti fondamentali in una storica sentenza del Tribunale costituzionale federale tedesco, in «Medialaws», 29 ottobre 2020.
[59] La legge censurata (Gesetz zur Ausland-Ausland-Fernmeldeaufklärung des Bundesnachrichtendienstes, del 23 dicembre 2016) autorizza i servizi segreti federali a condurre operazioni di sorveglianza delle telecomunicazioni all’estero, a condividere i dati così ottenuti e collaborare con autorità straniere. Le disposizioni legislative dichiarate incostituzionali rimangono efficaci fino al 31 dicembre 2021, onde consentire al legislatore di intervenire ed evitare così un vuoto normativo.
[60] L’efficacia extraterritoriale dei diritti fondamentali – proprio con riguardo all’art. 10 GG – era già stata riconosciuta nella sentenza BVerfGE 100, 313 (1999), in cui tuttavia non era stato precisato se il vincolo costituzionale sussistesse anche in mancanza di una relazione tra l’azione dei pubblici poteri e il territorio della Repubblica federale.
[61] Traduzione di R. Bifulco, Servizi segreti e diritti fondamentali. A proposito di una sentenza del Tribunale costituzionale tedesco, in «LuissOpen», 8 giugno 2020.