Il garante della privacy irlandese ha inflitto a Meta una multa record di 1,2 mld di euro (1,3 mld di dollari) per il trasferimento illegale di dati personali degli utenti europei negli Stati Uniti e, cosa forse più importante, ha ordinato alla società di interrompere l’invio di ulteriori informazioni oltre oceano.
Il divieto, per il quale Meta aveva minacciato il ritiro di Facebook e Instagram dall’Unione europea, entrerà in vigore a metà ottobre.
Meta dovrà, di conseguenza, cambiare sensibilmente il modo in cui gestisce la sua attività, a meno che UE e Stati Uniti non riescano a siglare un nuovo accordo sul controverso tema della condivisione dei dati che darebbe alla società una base legale per i suoi trasferimenti.
La Commissione irlandese per la protezione dei dati inizialmente non voleva infliggere alcuna multa a Meta, fin quando il Comitato europeo per la protezione dei dati (EDPB), che riunisce tutti i regolatori della privacy dei paesi UE, ha imposto la decisione.
“Il Comitato europeo ha rilevato che la violazione [di Meta] è molto grave poiché riguarda trasferimenti sistematici, ripetitivi e continui”, ha dichiarato il presidente Andrea Jelinek. “Facebook ha milioni di utenti in Europa, quindi il volume di dati personali trasferiti è enorme. La multa senza precedenti è un segnale forte per le organizzazioni che le violazioni gravi hanno conseguenze di vasta portata”.
“Stiamo ricorrendo in appello contro questa decisione e chiederemo immediatamente ai tribunali la sospensione delle scadenze di attuazione, considerato il danno che questi ordini causerebbero, anche ai milioni di persone che usano Facebook ogni giorno”, hanno scritto in un post sul blog Nick Clegg e Jennifer Newstead, rispettivamente presidente e chief legal officer di Meta.
Un problema di tutti
Poiché ciò che faceva Meta è un business comune a tutte le Big Tech statunitensi – fornire un servizio agli utenti europei e trasferire i loro dati nei data center degli Stati Uniti – la decisione, molto attesa, del Commissario irlandese farà venire i brividi a molte altre società statunitensi che hanno lo stesso problema di base: le agenzie di intelligence americane hanno in gran parte carta bianca per raccogliere i dati personali dei cittadini non americani dai server statunitensi. E non c’è niente che quegli stranieri possano fare al riguardo.
Questo problema è al centro di una straordinaria catena di eventi messi in moto un decennio fa dall’austriaco Max Schrems, allora studente di legge, che ha visto le rivelazioni fatte nel 2013 dall’informatore della National Security Agency Edward Snowden sui programmi di sorveglianza degli Stati Uniti e ha contestato il diritto di Facebook a trasferire i dati dei propri utenti europei negli Stati Uniti dal momento che non era in grado di garantire loro il diritto alla privacy.
Il Garante della privacy irlandese ha inizialmente respinto la denuncia, sottolineando che l’Unione europea aveva un accordo di condivisione dei dati con gli Stati Uniti, chiamato Safe Harbour, che presumibilmente rendeva legali i trasferimenti. Ma Schrems ha fatto ricorso e nel 2015 la più alta corte dell’Unione – la Corte di giustizia – ha annullato quell’accordo perché non proteggeva il diritto alla privacy degli utenti europei. La Commissione europea ha quindi siglato un nuovo accordo con gli Stati Uniti, chiamato Privacy Shield, ma la Corte ha annullato anche quello, nel 2020.
La sentenza del 2020 ha dato il colpo di grazia al piano di riserva di Facebook per mantenere legali i suoi trasferimenti transatlantici: un meccanismo chiamato ‘clausole contrattuali standard’, che aveva sostanzialmente lo stesso problema: non proteggere i dati degli europei negli Stati Uniti. Meta, quindi, come la società si è rinominata nel 2021, è stata lasciata senza alcuna base legale per i suoi trasferimenti, cosa che ha portato alla decisione appena pubblicata.
“Siamo felici di questa decisione dopo dieci anni di contenzioso”, ha detto Schrems. “La multa avrebbe potuto essere molto più alta, dato che la cifra massima che può essere comminata [ai sensi del regolamento generale sulla protezione dei dati dell’UE o GDPR] è di oltre 4 mld di euro e Meta ha consapevolmente infranto la legge per 10 anni per realizzare un profitto. A meno che le leggi sulla sorveglianza negli Stati Uniti non vengano ridefinite, Meta dovrà ristrutturare radicalmente i suoi metodi”.
Qual è l’accordo?
Tutto ora si riduce al nuovo accordo di condivisione dei dati tra Stati Uniti e UE, che si chiama Data Privacy Framework.
La Casa Bianca e la Commissione europea hanno raggiunto un accordo politico sul DPF l’anno scorso, evidenziando gli emendamenti alle pratiche di sorveglianza degli Stati Uniti che sono stati delineati in un ordine esecutivo di ottobre dal presidente degli Stati Uniti Joe Biden. Tuttavia, mentre la Commissione europea ha tutte le motivazioni politiche per approvare il DPF stesso, ha prima chiesto al Parlamento europeo e all’EDPB i loro pareri, e i risultati non sono stati incoraggianti.
La Casa Bianca e la Commissione europea hanno raggiunto un accordo politico sul DPF l’anno scorso, evidenziando gli emendamenti alle pratiche di sorveglianza degli Stati Uniti che sono stati delineati in un ordine esecutivo di ottobre dal presidente degli Stati Uniti Joe Biden. Tuttavia, anche se la Commissione europea ha tutte le motivazioni politiche per approvare il DPF stesso, ha prima chiesto al Parlamento europeo e all’EDPB i loro pareri, e i risultati non sono stati promettenti.
