Il 12 maggio 2023 l’Autorità irlandese per la protezione dei dati (Irish Data Protection Commission – IDPC) ha emesso un’importante decisione contro Meta Platforms Ireland Ltd (“Meta”, ex Facebook). La decisione riguarda il trasferimento di dati personali, in parte sensibili, di utenti di Facebook residenti in territorio UE verso la società madre negli Stati Uniti, sui cui server vengono memorizzati ed elaborati i dati trasferiti da Meta.
La cifra particolarmente alta della multa comminata e il fatto che la decisione potrebbe mettere a rischio la continuità del funzionamento di almeno uno dei social più popolari anche nell’UE ha sollevato molto nuovo dibattito, anche se si tratta di un tema che ormai da vari anni mette al confronto le norme sulla privacy UE con la legislazione americana.
Anche il Centres for European Policy Network (CEP), con una propria pubblicazione a cura di Anja Hoffmann, ha scelto di commentare la recente sentenza e riepilogare la situazione generale, della quale, malgrado i continui negoziati tra USA e UE, attualmente non è ancora definito con esattezza l’esito finale.
Meta, sanzione privacy 1,2 miliardi e rischio blocco di Facebook in Europa
Indice degli argomenti
I punti salienti della decisione
- Divieto ufficiale di IDPC a Meta di trasferire in futuro i dati personali degli utenti di Facebook residenti nell’UE negli Stati Uniti, in quanto ciò viola il Regolamento generale sulla protezione dei dati (GDPR): da notare, in ogni caso, che l’ordine di sospensione non si applica immediatamente, ma entrerà in vigore solo nell’ottobre 2023.
- Ordine di IDPC a Meta di conformare le proprie operazioni di trattamento dei dati alle disposizioni previste dal GDPR: per questo, Meta deve in particolare porre fine alla conservazione e all’elaborazione illegale di tutti i dati personali degli utenti europei già trasferiti oltreoceano in violazione della normativa europea sulla protezione dei dati entro sei mesi dall’emanazione della delibera di IDPC, ossia entro il 12 novembre 2023. Facebook potrebbe ottemperare a questo ordine ad es. cancellando tutti i dati degli utenti europei di Facebook trasferiti negli Stati Uniti senza una legittimazione legale, ma spetta a Meta decidere come dimostrare che il trattamento dei dati già trasferiti sia conforme al GDPR. Secondo il Comitato europeo per la protezione dei dati (EDPB), oltre alla cancellazione, costituiscono possibili modalità alternative di adeguamento il “ritorno” dei dati nel territorio dello Spazio economico europeo o in un Paese terzo dotato di adeguata protezione dei dati, come pure “altre soluzioni tecniche”. Tuttavia, dal momento che il procedimento di archiviazione dei database degli utenti nei propri centri dati avviene in modalità decentralizzata, Metasembra essere dell’avviso che solo una rimozione completa degli utenti da Facebook soddisferebbe le condizioni richieste da IDPC.
- Sanzione a Metadi 1,2 miliardi di euro, la più alta finora comminata ai sensi del GDPR. L’importo è, tra l’altro, in gran parte dovuto al gran numero di utenti interessati, nonché al fatturato molto elevato di Meta e ai suoi notevoli profitti effettuati anche nel territorio dell’UE.
Assenza di una base giuridica adeguata
IDPC evidenzia come Meta non disponga di una base normativa per il trasferimento dei dati degli utenti europei negli Stati Uniti, che invece è richiesta dal GDPR, il che rende illegali i trasferimenti di dati da parte di Facebook.
Dopo che nel 2020 con la sentenza Schrems II la Corte di Giustizia europea ha dichiarato invalido lo “Scudo per la privacy UE-USA”, questo ha cessato di costituire una base giuridica, e l’IDPC ha stabilito che Meta non può basare i suoi trasferimenti di dati sulle clausole contrattuali standard dell’UE.
Sebbene la Corte UE in linea di principio consenta ancora alle aziende di utilizzare le clausole contrattuali standard come base giuridica per i trasferimenti di dati, se il livello di protezione dei dati nel Paese terzo è inferiore a quello garantito nell’UE, le aziende devono applicare garanzie complementari, come una crittografia efficace, oltre ad utilizzare le clausole per colmare le lacune di protezione nella legislazione del Paese terzo.
L’obiettivo è quello di raggiungere un livello di protezione dei dati “sostanzialmente equivalente” a quello dell’UE.
Secondo la Corte di Giustizia europea, negli Stati Uniti non esiste un livello di protezione dei dati equivalente, anche a causa degli ampi poteri di sorveglianza delle autorità di Intelligence statunitensi, e d’altro canto i contratti standard tra esportatore e destinatario dei dati, che dovrebbero compensare i deficit di protezione rispetto all’UE, non vincolano le autorità statunitensi.
Nemmeno le misure di crittografia aggiuntive di Meta sono sufficienti a compensare le carenze della protezione offerta dalla legge statunitense, pur rendendosi a riguardo necessarie delle precisazioni: l’IDPC distingue tra le diverse possibilità di accesso ai dati dei servizi segreti USA, ovvero da un lato gli accessi “a monte” (intercettazione di infrastrutture come i cavi in fibra ottica per catturare i dati in transito – sulla base del programma FISA Upstream o dell’Executive Order 12333, firmato nel dicembre 1981 dal Presidente Reagan con lo scopo di ampliare i poteri e le responsabilità delle agenzie di intelligence statunitensi e di spingerne i dirigenti a cooperare pienamente con le richieste di informazioni della CIA), e dall’altro gli accessi “a valle” (raccolti direttamente da Meta mediante la concessione forzata dell’accesso o la consegna dei dati – sulla base del programma FISA Downstream).
Mentre gli accessi ai dati “a monte” potrebbero essere efficacemente impediti da misure di crittografia, che in linea di principio IDPC ritiene praticabili, non solo IDPC ma anche il Comitato europeo per la protezione dei dati ritiene che Meta non abbia saputo dimostrare di aver adottato misure di protezione adeguate contro gli accessi ai dati “a valle”.
Secondo IDPC, dunque, Meta ha trasferito i dati negli Stati Uniti senza fornire garanzie di protezione adeguate, ed ha quindi violato l’art. 46 (1) del GDPR: una violazione che non può considerarsi sanata dal fatto che gli utenti di Facebook avrebbero espresso il loro consenso alla gestione di dati da parte di Meta, perché tale consenso non è stato ottenuto o non è stato ottenuto in modo legalmente valido; inoltre, il consenso individuale non può giustificare trasferimenti di dati sistematici, di massa, ripetuti e continui.
Altri soggetti potenzialmente coinvolti dalla decisione
Con la sua decisione, IDPC sta mettendo in pratica la sentenza Schrems II della Corte di giustizia UE a quasi due anni di distanza dalla sua emanazione, e sebbene la decisione si applichi formalmente solo al servizio Facebook di Meta e riguardi solo il trasferimento dei dati personali degli utenti europei di Facebook negli Stati Uniti, essa costituisce un precedente che potrebbe essere seguito da deliberazioni simili di altre autorità per la protezione dei dati in casi con analoghi problemi di trasferimento dati.
Pertanto, tutte le aziende che trasferiscono dati per scopi commerciali a destinatari soggetti alle leggi sulla sorveglianza degli Stati Uniti sono di fatto interessate, nella misura in cui l’accesso ai dati in chiaro è necessario per il trattamento dei dati in loco – come accade per il trattamento da parte della società madre statunitense di Meta.
Tra i soggetti potenzialmente chiamati in causa ci sono in primo luogo i fornitori di servizi di comunicazione elettronica, ma in specifici casi potrebbero risultare coinvolte anche banche, compagnie aeree, strutture alberghiere e compagnie di navigazione operanti negli Stati Uniti.
Sono inoltre interessati anche i destinatari dei dati non soggetti alle leggi di sorveglianza degli Stati Uniti, ma che utilizzano un fornitore di servizi di comunicazione elettronica statunitense per elaborare determinati dati.
Possibili sviluppi futuri: nuove disposizioni in arrivo
Meta, o la sua società madre statunitense, aveva già annunciato nell’aprile 2022 che avrebbe potuto essere costretta a chiudere servizi come Facebook in Europa in caso di divieto di trasferimento: ora, però, Facebook sembra fiduciosa che una nuova base giuridica per i trasferimenti transatlantici di dati possa entrare in vigore prima della scadenza dei termini stabiliti daIla IDPC, sulla base di un accordo politico del 2022 chiamato EU-U.S. Data Privacy Framework – un documenti il cui obiettivo è quello di superare le criticità sollevate con la sentenza Schrems II, ponendo un freno alle attività di intercettazione di massa dei dati personali dei cittadini europei ed assicurando una tutela giudiziaria reale e indipendente analoga a quella prevista dal GDPR in materia di violazione dei dati personali.
Questo scongiurerebbe interruzioni immediate dei servizi di Facebook, e porrebbe Meta e altri esportatori di dati di nuovo in condizione di trasferire dati personali dall’UE agli Stati Uniti senza la necessità di clausole contrattuali standard e di garanzie aggiuntive, nonché di costose valutazioni dell’impatto del trasferimento.
Tutte le parti coinvolte sembrano per ora muoversi in un contesto ancora non definito, in attesa che ulteriori strumenti normativi intervengano a chiarire le tante problematiche coinvolte nella vicenda.
