A Meta è stata inflitta una multa da record di 1,2 miliardi di euro dalle autorità di regolamentazione dei dati dell’UE ed è stato ordinato alla società di Mark Zuckerberg di interrompere il trasferimento dei dati di Facebook dei cittadini dell’UE negli Usa. I tribunali dell’UE ritengono che tali trasferimenti di dati espongano i cittadini dell’UE a violazioni della privacy: una denuncia che risale al 2013 e le rivelazioni dell’informatore Edward Snowden sui programmi di sorveglianza di massa degli Stati Uniti.
La sentenza è stata emessa dalla Commissione irlandese per la protezione dei dati (DPC), che ha affermato che l’attuale quadro giuridico per i trasferimenti di dati negli Stati Uniti “non affronta i rischi per i diritti e le libertà fondamentali” degli utenti di Facebook nell’UE e viola il GDPR. La sanzione supera il precedente record dell’UE di 746 milioni di euro imposto ad Amazon nel 2021 per simili violazioni della privacy .
Il trasferimento dei dati negli Stati Uniti è fondamentale per la vasta operazione di targeting pubblicitario di Meta, che si basa sull’elaborazione di più flussi di dati personali provenienti dagli utenti. Nel 2022, Meta ha affermato che sarebbe stata costretta a prendere in considerazione la chiusura di Facebook e Instagram nell’UE se non fosse stata messa in grado di inviare le informazioni negli Stati Uniti. Un avvertimento che i politici dell’UE hanno visto come una minaccia evidente. “Meta non può semplicemente ricattare l’UE affinché rinunci ai suoi standard di protezione dei dati”, ha risposto alla notizia il legislatore dell’UE Axel Voss. “Lasciare l’UE sarebbe la loro perdita”.
In precedenza, questi trasferimenti di dati erano protetti da un patto transatlantico noto come Privacy Shield. Ma questo quadro è stato dichiarato non valido nel 2020 dopo che la corte suprema dell’UE ha scoperto che non proteggeva i dati dall’essere cancellati dai programmi di sorveglianza degli Stati Uniti. Questa sentenza è stata emessa in risposta a un reclamo dell’avvocato austriaco Max Schrems, la cui battaglia legale contro Facebook risale al 2013 e alle rivelazioni originali di Snowden sulla sorveglianza statunitense.
Sebbene a Meta sia stato ora ordinato di interrompere questi trasferimenti di dati, ci sono una serie di avvertimenti a vantaggio del gigante dei social media statunitense. Innanzitutto, la sentenza si applica solo ai dati di Facebook, non di altre società Meta come Instagram e WhatsApp. In secondo luogo, c’è un periodo di tolleranza di cinque mesi prima che Meta debba interrompere i trasferimenti futuri e una scadenza di sei mesi per interrompere la conservazione dei dati correnti negli Stati Uniti. In terzo luogo, e cosa più importante, l’UE e gli Stati Uniti stanno attualmente negoziando un nuovo accordo per il trasferimento dei dati che potrebbe essere in vigore già quest’estate e fino a ottobre.
Nonostante le dimensioni da record della multa, gli esperti hanno espresso dubbi sul fatto che cambierà qualcosa di fondamentale nelle pratiche sulla privacy di Meta. “Una multa da un miliardo di euro non ha alcuna conseguenza per un’azienda che guadagna molti più miliardi parcheggiando illegalmente”, ha detto a The Guardian questo fine settimana Johnny Ryan, membro anziano del Consiglio irlandese per le libertà civili.
Per altre parti, la multa è un trionfo: “Siamo felici di vedere questa decisione dopo dieci anni di contenzioso”, ha dichiarato Schrems, la cui sfida legale del 2013 è all’origine della sentenza, in un comunicato stampa . “La multa poteva essere molto più alta, visto che la sanzione massima è di oltre 4 miliardi e Meta ha consapevolmente infranto la legge per fare profitto per dieci anni”.
Meta stessa ha descritto la multa come “ingiustificata e non necessaria” in un post sul blog scritto dal presidente di Meta per gli affari globali, Nick Clegg, e dal chief legal officer dell’azienda, Jennifer Newstead. La società ha sottolineato che è solo una delle “migliaia” di società che utilizzano quadri legali simili per trasferire dati. Qui di seguito il post in forma integrale, che specifica la posizione di Meta in merito alla vicenda.
La risposta ufficiale di Meta sui trasferimenti di dati tra Usa e UE di Facebook
La capacità di trasferire i dati oltre confine è fondamentale per il funzionamento dell’Internet aperta globale. Dalla finanza e dalle telecomunicazioni ai servizi pubblici critici come l’assistenza sanitaria o l’istruzione, il libero flusso di dati supporta molti dei servizi su cui ci affidiamo. Migliaia di aziende e altre organizzazioni si affidano alla capacità di trasferire dati tra l’UE e gli Stati Uniti per operare e fornire servizi che le persone utilizzano ogni giorno.
Senza la capacità di trasferire dati oltre confine, Internet rischia di essere suddiviso in silos nazionali e regionali, limitando l’economia globale e lasciando i cittadini di diversi paesi impossibilitati ad accedere a molti dei servizi condivisi su cui facciamo affidamento. Ecco perché fornire una solida base giuridica per il trasferimento di dati tra l’UE e gli Stati Uniti è stata per molti anni una priorità politica su entrambe le sponde dell’Atlantico.
Nel 2020, la Corte di giustizia dell’Unione europea (CGUE) ha invalidato il Privacy Shield, un meccanismo legale fondamentale per il trasferimento di dati personali dall’UE agli Stati Uniti. Questa decisione ha creato una notevole incertezza normativa e legale per migliaia di organizzazioni, tra cui Meta.
Al momento della sua decisione nel 2020, la CGUE ha confermato che un meccanismo giuridico alternativo denominato clausole contrattuali standard (o SCC) avrebbe continuato a essere valido fatte salve varie garanzie legali. Pertanto, come migliaia di altre aziende, Meta ha utilizzato SCC ritenendoli conformi al Regolamento generale sulla protezione dei dati (GDPR).
Oggi, la Commissione irlandese per la protezione dei dati (DPC) ha esposto le sue conclusioni sull’uso da parte di Meta di questo strumento legale comune per trasferire i dati degli utenti di Facebook tra l’UE e gli Stati Uniti. Nonostante avessimo riconosciuto di aver agito in buona fede e che una multa fosse ingiustificata, il DPC è stato annullato all’ultimo minuto dal Comitato europeo per la protezione dei dati (EDPB). Stiamo facendo appello contro queste decisioni e cercheremo immediatamente una sospensione presso i tribunali che possono sospendere i termini di attuazione, dato il danno che questi ordini causerebbero, anche ai milioni di persone che usano Facebook ogni giorno.
Meta utilizza gli stessi meccanismi legali di altre organizzazioni
In definitiva, l’invalidazione del Privacy Shield nel 2020 è stata causata da un fondamentale conflitto di leggi tra le regole del governo degli Stati Uniti sull’accesso ai dati e i diritti alla privacy degli europei. È un conflitto che né Meta né nessun’altra azienda potrebbe risolvere da sola. Siamo quindi delusi di essere stati individuati utilizzando lo stesso meccanismo legale di migliaia di altre società che cercano di fornire servizi in Europa.
Il DPC ha inizialmente riconosciuto che Meta aveva continuato i suoi trasferimenti di dati UE-USA in buona fede e che una sanzione sarebbe stata inutile e sproporzionata. Tuttavia, questo è stato annullato dall’EDPB, che ha anche scelto di ignorare i chiari progressi che i responsabili politici stanno facendo per risolvere questo problema di fondo. Questa decisione è errata, ingiustificata e costituisce un pericoloso precedente per le innumerevoli altre società che trasferiscono dati tra l’UE e gli Stati Uniti.
Solleva anche seri interrogativi su un processo normativo che consente all’EDPB di annullare un regolatore principale in questo modo, ignorando i risultati della sua indagine pluriennale senza dare alla società in questione il diritto di essere ascoltata.
Esiste già un accordo politico per risolvere il conflitto di leggi sottostante
I responsabili politici sia nell’UE che negli Stati Uniti sono sulla buona strada per risolvere questo conflitto con il nuovo Data Privacy Framework (DPF). Nel marzo 2022, il presidente Biden e il presidente della Commissione Von der Leyen hanno annunciato di aver raggiunto un accordo sui principi di un nuovo quadro per consentire la libera circolazione dei dati transatlantici. I responsabili politici su entrambe le sponde dell’Atlantico si sono impegnati ad attuare pienamente il DPF “il più rapidamente possibile”.
Le autorità di regolamentazione, compreso l’EDPB, hanno accolto con favore i miglioramenti apportati dal DPF. Siamo lieti che il DPC abbia anche confermato nella sua decisione che non ci sarà alcuna sospensione dei trasferimenti o altre azioni richieste a Meta, come l’obbligo di cancellare i dati degli interessati dell’UE una volta risolto il conflitto di leggi sottostante. Ciò significa che se il DPF entrerà in vigore prima della scadenza dei termini di attuazione, i nostri servizi potranno continuare come fanno oggi senza alcuna interruzione o impatto sugli utenti.
In un momento in cui Internet si sta fratturando sotto la pressione dei regimi autoritari, le democrazie che la pensano allo stesso modo dovrebbero lavorare insieme per promuovere e difendere l’idea di Internet aperto. Nessun paese ha fatto più degli Stati Uniti per allinearsi alle regole europee attraverso le loro ultime riforme, mentre i trasferimenti continuano in gran parte incontrastati verso paesi come la Cina.
La nostra priorità è garantire che i nostri utenti, inserzionisti, clienti e partner possano continuare a utilizzare Facebook mantenendo i propri dati al sicuro. Non ci sono interruzioni immediate per Facebook perché la decisione include periodi di implementazione che dureranno fino alla fine di quest’anno. Intendiamo impugnare sia la sostanza della decisione che i suoi ordini, inclusa la multa, e cercheremo di sospendere i tribunali per sospendere i termini di attuazione.
