Il caso Bank Melli, tutti i rischi del Cloud Act

Il caso Bank Melli esemplifica una tematica destinata ad avere un’importanza sempre più rilevante per le imprese europee: l’uso da parte delle amministrazioni statunitensi delle sanzioni economiche internazionali.

Un caso giudiziario attualmente pendente innanzi alla Corte di giustizia dell’unione europea (d’ora in poi “CGUE”), il caso Bank Melli (Causa C‑124/20), esemplifica una tematica destinata ad avere un’importanza sempre più rilevante per le imprese europee: l’uso da parte delle amministrazioni statunitensi delle sanzioni economiche internazionali e, più in generale, la tendenza del diritto degli Stati Uniti ad (auto)estendere la propria giurisdizione al di fuori dei propri confini nazionali, assoggettandovi, pertanto, anche le persone fisiche e giuridiche della Unione Europea (d’ora in poi “UE”). In tal senso, è interessante leggere un brano della dissenting opinion del giudice J. Brennan, nella causa Stati Uniti v. Verdugo-Urquidez del 1990 (riportato nell’opinione espressa dall’avvocato generale della CGUE Hogan nel caso Bank Melli), “l’enorme espansione della giurisdizione penale federale al di fuori dei confini della nostra Nazione ha indotto un autore a suggerire che i tre prodotti maggiormente esportati dal nostro paese siano oggi il rock, i blue jeans e il diritto statunitense”.

Il Caso Bank Melli

Come è noto, gli Stati Uniti, ormai diversi decenni fa, avevano imposto delle penetranti sanzioni economiche nei confronti dell’Iran. Tali sanzioni erano state ritirate in base all’accordo stipulato, nel 2015, dalla comunità internazionale con l’Iran (sotto l’egida dell’amministrazione Obama); poi, però, nel 2018, la decisione del presidente Trump di ritirarsi unilateralmente dall’accordo con il paese mediorientale ha avuto l’effetto di determinare la reviviscenza delle sanzioni economiche imposte dagli Stati Uniti nei confronti dell’Iran. Le norme che prevedono sanzioni americane nei confronti dell’Iran si applicano, inter alia, alle persone fisiche o giuridiche di stati terzi (quindi, anche degli Stati europei) che effettuino scambi commerciali o intrattengano rapporti di affari (nel senso più ampio del termine) con l’Iran.

La Bank Melli Iran è una banca iraniana che ha una succursale in Germania e aveva in essere, già da diversi anni, un contratto per la fornitura di servizi di telefonia con Telekom Deutschland (d’ora in poi “TD”) che prevedeva il pagamento di un canone mensile di euro 2.000,00; TD è uno dei principali operatori tedeschi di telecomunicazioni, con più di 270.000 dipendenti in tutto il mondo, di cui più di 50.000 negli Stati Uniti, dove realizza circa il 50% del suo fatturato. Nel 2018, TD recedeva dal contratto con Bank Melli al fine di evitare eventuali sanzioni da parte dell’amministrazione statunitense potenzialmente applicabili per violazione delle norme che impongono sanzioni economiche all’Iran: dal punto di vista di TD, non era naturalmente giustificato rischiare l’accesso al mercato dove genera più della metà del proprio fatturato per un contratto del valore di appena euro 24.000,00 l’anno.

Tuttavia, la UE, già da diverso tempo, si era dotata di uno strumento giuridico pensato allo scopo di arginare la vis espansiva del diritto statunitense: il cosiddetto Regolamento di blocco della UE (Regolamento CE 2271 del Consiglio, del 22 novembre 1996), il quale, in sostanza, è finalizzato a proteggere le imprese europee dagli effetti extra­territoriali derivanti dall’applicazione di una normativa adottata da un paese terzo (come gli Stati Uniti) o dalle azioni su di essa basate. Senza entrare oltre il necessario nelle complessità del caso Bank Melli, è sufficiente dire che la banca iraniana ha citato in giudizio innanzi a un tribunale tedesco TD, argomentando che il recesso della telco violava i suoi diritti in base al citato Regolamento di blocco dell’UE; la questione, dopo un rinvio pregiudiziale, è, infine, approdata alla CJEU e il caso è ancora pendente, ma le conclusioni dell’avvocato generale Hogan contengono delle considerazioni di estremo interesse sull’effetto espansivo del diritto statunitense nei confronti delle imprese della UE (rectius della UE in genere) che vanno ben al di là del tema relativo alle sanzioni economiche nei confronti dell’Iran.

L’impatto nei confronti delle imprese europee

Di particolare importanza è quanto sottolinea l’avvocato generale Hogan con riferimento alla privacy. Nelle parole stesse dell’avvocato generale: “le sfide che l’extraterritorialità di talune normative pone al diritto dell’Unione dovrebbero manifestarsi con una certa intensità, negli anni a venire, anche in un settore caro alla Corte, ossia quello della protezione dei dati personali. Infatti, il Clarifying Lawful Overseas Use of Data Act del 2018 degli Stati Uniti (legge recante chiarimento sull’utilizzo legittimo di dati all’estero), che ha modificato lo Stored Communications Act del 1986 (legge sulle comunicazioni archiviate), attribuisce alle autorità statunitensi preposte all’applicazione della legge il potere di richiedere i dati archiviati dalla maggior parte dei principali fornitori di servizi di cloud, anche se conservati al di fuori degli Stati Uniti. Tuttavia, il mercato dell’archiviazione dei dati è ampiamente dominato da società statunitensi, in misura superiore all’85%”. Come specifica l’avvocato generale Hogan, il Clarifying Lawful Overseas Use of Data Act (d’ora in poi “CLOUD” nomen omen) permette alle autorità degli Stati Uniti di imporre, date determinate condizioni, alle imprese statunitensi di consegnare dati personali e informazioni relativi a terzi (cioè degli interessati, secondo le definizioni del GDPR) di terzi, anche se tali dati siano conservati presso una società controllata di diritto estero.

Questa legislazione è stata emanata in seguito al rifiuto della Microsoft di consegnare alla FBI dei dati personali conservati presso la sede irlandese del colosso di Redmond (che è una persona giuridica di diritto irlandese, totalmente autonoma in punto di diritto dalla società madre di diritto americano, sebbene completamente partecipata da quest’ultima): mentre l’FBI sosteneva che la Microsoft aveva “full control” sopra tali dati, la società fondata da Bill Gates aveva opposto la circostanza che tali dati si trovassero al di fuori degli Stati Uniti; il CLOUD attualmente “risolve il problema” fornendo una base giuridica alle autorità americane per accedere ai dati personali in possesso di imprese americane, anche se i dati si trovino presso società controllate di diritto estero, incluse quelle basate nella UE. La collisione tra il CLOUD e, più in generale, il principio della forza espansiva della giurisdizione statunitense, con il Regolamento (UE) 2016/679 (d’ora in poi “GDPR”) è autoevidente.

Più in generale e al di là del GDPR, l’applicabilità del diritto statunitense al di fuori dei propri confini nazionali appare sia sproporzionato e sia potenzialmente pericoloso per le imprese europee, la quali potrebbero incorrere in sanzioni applicate dal governo americano (anche di elevata entità economica) senza essere, nei fatti, in condizioni di averne conoscenza (particolarmente se si tratta di PMI europee, l’indice di conoscibilità delle sanzioni americane è bassissimo) ovvero trovarsi, come nel caso Bank Melli, a dover “scegliere” tra l’osservanza del diritto americano e quello europeo, muovendosi negli (stretti) spazi di conflitto tra i due sistemi giuridici.

Per ritornare alle parole dell’avvocato generale Hogan: “questi tentativi di esercitare una giurisdizione extraterritoriale statunitense sono stati tradizionalmente criticati a livello dell’Unione, poiché costituiscono, tipicamente, una forma di giurisdizione sproporzionata, che taluni ritengono difficilmente conciliabile con i principi generali del diritto internazionale pubblico. In questa sede, si può osservare che l’articolo 21, paragrafo 1, e l’articolo 21, paragrafo 2, lettera h), TUE impone all’Unione di proteggere e promuovere tale sistema di diritto internazionale. Inoltre, la comunità imprenditoriale europea si è opposta a questo tipo di normativa, a motivo del fatto che, nella prassi, essa colpisce quasi esclusivamente società straniere”.

Fonte: Key4biz | di Paolo Maria Gangi, avvocato

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL