Meta, con le sue app Instagram e Facebook, si avvicina alla resa dei conti in Europa.
Lo dimostra una bozza di decisione preliminare, della Commissione Irlandese per la protezione dei dati, trapelata nei giorni scorsi.
Sappiamo che l’Irlanda è dove Meta ha sede in Europa, quindi è qui che si può decidere soprattutto la sua sorte.
Meta aggiorna l’informativa privacy: i nuovi controlli e i prossimi step
Indice degli argomenti
Meta, il trasferimento dati all’estero nel mirino del Garante irlandese
La decisione in bozza è finalizzata a limitare il trasferimento dei dati personali per le piattaforme Facebook e Instagram di Meta.
Meta ha già chiarito che di fronte a una posizione del genere non avrebbe altra scelta che togliere Facebook e Instagram dall’Europa.
A seguito dell’emanazione della Sentenza Schrems II, dunque, le Big Tech e, più in particolare, Meta, si trovano ad affrontare nuove indagini che porteranno probabilmente – in assenza di una modifica dello status quo da parte delle autorità europee e statunitensi – a nuove pesanti sanzioni e alla possibile interruzione dei servizi di Facebook e Instagram in Unione Europea.
Stando a quanto dichiarato dall’Autorità Irlandese alle altre autorità europee, affinché queste possano fornire il nulla osta o apporvi delle rettifiche, infatti, lo scopo perseguito sarebbe proprio quello di bloccare l’illegittimo trasferimento dei dati verso gli USA da parte delle due piattaforme, sulla scorta delle indicazioni rese dalla Corte di Giustizia Europea.
Ove la decisione dovesse ricevere il benestare delle altre autorità di controllo interessate o essere approvata da parte del Comitato Europeo per la protezione dei dati al termine del meccanismo di coerenza, infatti, sia Facebook che Instagram potrebbero quindi essere oscurati sul territorio europeo, non potendo Meta essere più in grado di offrire i propri servizi senza un nuovo accordo o ingenti investimenti strutturali.
Si tratta di una decisione che giunge a seguito della rilevante sanzione di 17 milioni di euro inflitta sempre a Meta per la violazione dei requisiti di cui agli artt. 5, 24 e 32 GDPR, all’esito di una indagine nella quale si era riscontrato che Meta non disponeva di misure tecniche e organizzative adeguate che le consentissero di dimostrare prontamente le misure di sicurezza attuate nella pratica per proteggere i dati degli utenti dell’UE.
Meta, l’indagine del Garante irlandese
La bozza di decisione di cui si discute, in cui viene proposto dal Data Protection Commissioner Irlandese di impedire al Meta il trasferimento di dati personali dall’UE agli Stati Uniti, trae origine da un’indagine avviata su impulso della stessa Autorità Garante irlandese ai sensi di quanto previsto dal Data Protection Act irlandese, a seguito della sentenza “Schrems II” del 2020. Scopo dell’indagine era quello di appurare, sulla base dei dati acquisiti nel corso dell’indagine, se i trasferimenti di dati effettuati da parte di Facebook negli USA fossero o meno da ritenersi legittimi.
La Corte di Giustizia Europea, infatti, non solo ha invalidato il Privacy Shield (strumento precedentemente utilizzato quale strumento di garanzia per il trasferimento dei dati oltremare) ma ha anche sollevato dei dubbi in merito alla possibilità di far ricorso, in sostituzione del Privacy Shield, a clausole contrattuali standard, essendo la non conformità del trasferimento da ricercarsi all’interno del quadro normativo statunitense e, dunque, al momento difficilmente risolvibile esclusivamente mediante strumenti contrattuali (comunque caldeggiati dalle Autorità Garanti, in mancanza di un nuovo accordo UE-USA che risolva le criticità del Privacy Shield).
Proprio nelle clausole contrattuali standard molte aziende, inclusa Meta e le sue piattaforme, hanno trovato riparo al fine di evitare che – nell’arco di pochi giorni – si rendesse necessario provvedere ad un mutamento repentino dell’intera infrastruttura tecnica sulla quale si basano i singoli servizi, o si dovesse interrompere la fornitura dei servizi sull’intero suolo europeo. Si tratta chiaramente di una soluzione del tutto temporanea, nell’attesa che, come detto, sia elaborato un nuovo accordo politico sul trasferimento di dati transatlantico, oggi ancora in uno stadio del tutto preliminare, sebbene sia stato annunciato il raggiungimento di una prima intesa nel marzo di quest’anno da parte del Presidente USA Joe Biden e della Presidente della Commissione Europea Ursula Von Der Leyen. A detto accordo preliminare ad oggi non hanno fatto seguito sviluppi rilevanti, e molti temono che detto nuovo accordo possa non vedere la luce prima dell’anno prossimo.
L’impatto
Nell’attesa di poter commentare il testo integrale della bozza, come riporta Politico la decisione del Garante Irlandese intimerebbe a Meta di cessare le esportazioni di dati verso gli USA, con esclusione degli europei dai servizi Facebook e Instagram già nel corso di questa estate, ove la decisione dovesse trovare conferma anche da parte delle altre autorità. Sebbene tale ultima eventualità sia da ritenersi improbabile, alla luce dei tempi tecnici stimati necessari per poter giungere alla redazione di una decisione definitiva, quella in esame potrebbe essere – ad ogni modo – la risposta ad anni di battaglie legali condotte dagli attivisti della materia nei confronti delle grandi aziende tecnologiche (tra cui, in primis, Max Schrems, da cui deriva la nota sentenza), e soprattutto un nuovo stimolo per aziende e legislatori per attuare una modifica sostanziale agli strumenti di trasferimento dei dati personali, incrementando in modo sostanziale e non solo formale le tutele per tutti i cittadini europei.
Non potendo più fare affidamento neppure alle clausole contrattuali standard, infatti, moltissime aziende saranno costrette a rivedere il proprio modello di gestione dei dati personali, privilegiando soluzioni che non prevedano il trasferimento di dati oltreoceano o misure di sicurezza che impediscano al dato di essere riconducibile ai soggetti interessati.
Il punto di vista di Meta
Già a marzo, Meta aveva dichiarato, all’interno di un documento depositato innanzi alla US Securities and Exchange Commission, che “Se non verrà adottato un nuovo quadro per il trasferimento di dati transatlantico e non saremo in grado di continuare a fare affidamento sugli SCC o fare affidamento su altri mezzi alternativi di trasferimento di dati dall’Europa agli Stati Uniti, probabilmente non saremo in grado di offrire alcuni dei nostri più significativi prodotti e servizi, tra cui Facebook e Instagram, in Europa”.
Oggi, a commento della notizia, un portavoce di Meta ha riferito a Politico che “Questa bozza di decisione, che è soggetta a revisione da parte delle autorità europee per la protezione dei dati, si riferisce a un conflitto tra le leggi dell’UE e degli Stati Uniti che è in fase di risoluzione. Accogliamo con favore l’accordo UE-USA per un nuovo quadro giuridico che consentirà il continuo trasferimento di dati oltre i confini e prevediamo che questo quadro ci consentirà di mantenere collegate famiglie, comunità ed economie”.
Il commento di Max Schrems
Anche l’attivista Max Schrems ha commentato la notizia, in un comunicato pubblicato sul sito web di NOYB, affermando che si aspetta “che altre DPA emettano obiezioni, poiché alcune questioni importanti non sono trattate nella bozza del DPC. Ciò porterà a un’altra bozza e quindi a una votazione. In altri casi ciò ha richiesto complessivamente un altro anno, poiché il DPC non ha attuare volontariamente i commenti di altre DPA e ci sono voluti più di sei mesi per inoltrare il caso in votazione”.
Nel comunicato, Schrems appare scettico sui possibili esiti della decisione: “Facebook utilizzerà il sistema legale irlandese per ritardare qualsiasi effettivo divieto di trasferimento di dati. L’Irlanda dovrà mandare la polizia a tagliare fisicamente i cavi prima che questi trasferimenti si interrompano effettivamente. Ciò che sarebbe comunque facile da fare, è una multa per gli anni passati, per i quali la CGUE ha chiaramente affermato che i trasferimenti erano illegali. È strano che il DPC sembri “dimenticare” l’unica sanzione efficace in questo caso. Si potrebbe avere l’impressione che il DPC voglia solo avere questo caso andare in tondo ancora e ancora”.
Facebook fan page: il prossimo servizio web in violazione della privacy? Quali impatti
I prossimi step: il blocco non sarà immediato
Come detto, sarà improbabile che la decisione avrà un effetto immediato sui servizi resi da Meta ai cittadini europei. La bozza di decisione, infatti, avvia ora la procedura di cui all’art. 60 GDPR, che prevede la cooperazione tra l’autorità di controllo capofila (nel caso di specie, il DPC) e le altre autorità di controllo interessate, al fine di raggiungere un consenso circa il contenuto della decisione.
Una volta avviato detto procedimento, alle autorità di controllo interessate viene concesso un termine di quattro settimane dalla loro consultazione per commentare o sollevare un’obiezione pertinente e motivata sulla bozza di decisione. Qualora l’autorità di controllo capofila intenda dare seguito all’obiezione sollevata, la stessa trasmetterà un progetto di decisione rivisto e corretto alle altre autorità di controllo interessate, per ottenere nuovamente il loro parere, stavolta con un termine ridotto di due settimane. Nel caso in cui, viceversa, il DPC non ritenga che le eccezioni sollevate siano pertinenti e motivate, la bozza dovrà essere sottoposta al meccanismo di coerenza di cui all’art. 65 GDPR innanzi al Comitato europeo per la protezione dei dati (EDPB), con decorrenza di ulteriori termini (un mese prorogabile di un ulteriore mese e mezzo, nel caso in cui non si raggiungano le maggioranze previste dalla norma).
Nel caso in cui – trascorso il detto termine di quattro settimane – non vi sono obiezioni alla bozza di decisione, la stessa diviene vincolante, ai sensi del paragrafo 6 dell’art. 60 GDPR, che prevede che “Se nessuna delle altre autorità di controllo interessate ha sollevato obiezioni al progetto di decisione trasmesso dall’autorità di controllo capofila entro il termine di cui ai paragrafi 4 e 5, si deve considerare che l’autorità di controllo capofila e le autorità di controllo interessate concordano su tale progetto di decisione e sono da esso vincolate”.
Oltre a ciò, il segretariato dell’EDPB potrebbe richiedere a qualsiasi parte rilevante di fornire ulteriori dati per la corretta istruzione della pratica, con assegnazione di termini ancora maggiori rispetto a quelli indicati. Una volta adottata la decisione da parte dell’EDPB, sarà compito del DPC emettere la stessa “senza indebito ritardo” sulla base del testo approvato dall’EDPB, non oltre un mese dalla notifica della decisione vincolante del Comitato. Ne consegue che i tempi per la definitiva adozione della decisione potrebbero essere ancora del tutto acerbi, richiedendo la conclusione del procedimento altri 6 mesi.
