Schrems II

1)

L’articolo 2, paragrafi 1 e 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che rientra nell’ambito di applicazione di tale regolamento un trasferimento di Dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un altro operatore economico stabilito in un paese terzo, nonostante il fatto che, durante o in seguito a tale trasferimento, i suddetti dati possano essere sottoposti a Trattamento da parte delle autorità del paese Terzo considerato a fini di sicurezza pubblica, di difesa e sicurezza dello Stato.

2)

L’articolo 46, paragrafo 1, e l’articolo 46, paragrafo 2, lettera c), del regolamento 2016/679 devono essere interpretati nel senso che le garanzie adeguate, i diritti azionabili e i mezzi di ricorso effettivi richiesti da tali disposizioni devono garantire che i diritti delle persone i cui Dati personali sono trasferiti verso un paese Terzo sul fondamento di clausole tipo di protezione dei dati godano di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da tale regolamento, letto alla luce della Carta dei diritti fondamentali dell’Unione europea. A tal fine, la valutazione del livello di protezione garantito nel contesto di un trasferimento siffatto deve, in particolare, prendere in considerazione tanto le clausole contrattuali convenute tra il Titolare del Trattamento o il Responsabile del trattamento stabiliti nell’Unione e il Destinatario del trasferimento stabilito nel paese Terzo interessato quanto, per quel che riguarda un eventuale accesso delle autorità pubbliche di tale paese Terzo ai Dati personali così trasferiti, gli elementi rilevanti del sistema giuridico di quest’ultimo, in particolare quelli enunciati all’articolo 45, paragrafo 2, di detto regolamento.

3)

L’articolo 58, paragrafo 2, lettere f) e j), del regolamento 2016/679 deve essere interpretato nel senso che, a meno che esista una decisione di adeguatezza validamente adottata dalla Commissione europea, l’autorità di controllo competente è tenuta a sospendere o a vietare un trasferimento di dati verso un paese Terzo effettuato sulla base di clausole tipo di protezione dei dati adottate dalla Commissione, qualora detta autorità di controllo ritenga, alla luce del complesso delle circostanze proprie di tale trasferimento, che le suddette clausole non siano o non possano essere rispettate in tale paese Terzo e che la protezione dei dati trasferiti richiesta dal diritto dell’Unione, segnatamente dagli articoli 45 e 46 di tale regolamento e dalla Carta dei diritti fondamentali, non possa essere garantita con altri mezzi, ove il Titolare del Trattamento o il Responsabile del Trattamento stabiliti nell’Unione non abbiano essi stessi sospeso il trasferimento o messo fine a quest’ultimo.

4)

Dall’esame della decisione 2010/87/UE della Commissione, del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il trasferimento di Dati personali a incaricati del Trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, come modificata dalla decisione di esecuzione (UE) 2016/2297 della Commissione, del 16 dicembre 2016, alla luce degli articoli 7, 8 e 47 della Carta dei diritti fondamentali non è emerso alcun elemento idoneo ad inficiarne la validità.

5)

La decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy, è invalida.