Meta, proprietaria di Facebook, Instagram e Whatsapp, si appresta a ricevere una multa record dal Garante privacy irlandese, autorità europea preposta in questo caso.
Sarebbe superiore alla sanzione di 746 milioni di euro (809 milioni di dollari) comminata ad Amazon.com secondo fonti di Bloomberg e Reuters riportate ieri. Potrebbe quindi avvicinarsi al miliardo.
Update 22 maggio: come previsto, sanzione confermata. E’ 1,2 miliardi di euro.
Al centro di nuovo la questione del trasferimento dati verso gli Usa, che a quanto pare non è stata sopita ancora dagli accordi politici in corso tra Usa e Europa.
A rischio, anche se sembra improbabile ora, oltre la sanzione anche un blocco di Facebook in Europa se non si troverà una soluzione tecnica o giuridica.
EDPB: il punto su Google Analytics e i trasferimenti di dati USA-UE
Indice degli argomenti
Garante privacy irlandese contro Meta
La commissione irlandese per la protezione dei dati personali sanzionerà il gigante dei social network per non aver tenuto conto di un avvertimento della Corte Suprema volto a proteggere i dati degli utenti dagli occhi indiscreti dei servizi di sicurezza statunitensi una volta spediti ai server d’oltreoceano.
L’autorità di regolamentazione, che supervisiona le operazioni nell’UE della maggior parte delle aziende della Silicon Valley, ordinerà inoltre al social network di interrompere tutti i trasferimenti di dati verso gli Stati Uniti che si basano su clausole contrattuali presumibilmente non sicure, messe in discussione dalla Corte di Giustizia europea con il famoso caso Schrems II. La decisione irlandese riguarderà solo Facebook di Meta e non interesserà altri servizi di Meta, come Instagram, o altre aziende che hanno trasferito i dati nello stesso modo.
È probabile che la sanzione per Meta arrivi prima del quinto anniversario del Regolamento generale sulla protezione dei dati dell’UE quindi entro il 25 maggio. L’attuale multa più alta è stata comminata dall’autorità di regolamentazione lussemburghese ad Amazon nel 2021, dopo che l’azienda di e-commerce era stata accusata di aver gestito in modo scorretto i dati personali.
Meta e privacy, che succede ora
Secondo fonti Bloomberg, il divieto dovrebbe essere accompagnato da un periodo di transizione e sarà sicuramente seguito da un ricorso di Meta presso i tribunali irlandesi, quando potrebbe entrare in vigore un nuovo patto transatlantico sui dati che l’UE sta negoziando con gli Stati Uniti.
L’autorità irlandese ha adottato la decisione la scorsa settimana e la pubblicherà nei prossimi giorni dopo che Meta avrà avuto la possibilità di evidenziare le informazioni potenzialmente sensibili, secondo Graham Doyle, il suo vice commissario. Egli ha rifiutato di commentare ulteriormente.
Ricordiamo che la controversia risale al 2013, quando l’ex contractor Edward Snowden ha rivelato la portata dello spionaggio da parte della National Security Agency statunitense. L’attivista per la privacy Max Schrems ha sfidato Facebook in Irlanda – dove l’azienda di social media ha la sua sede europea – sostenendo che i dati dei cittadini dell’UE sono a rischio nel momento in cui vengono trasferiti negli Stati Uniti.
“Il problema riguarda appunto sempre la base giuridica utilizzata per il trasferimento dei dati verso gli USA, come nel caso di ChatGpt. A seguito della Schrems II, infatti, le grandi aziende statunitensi avevano applicato, quale strumento di legittimità del trasferimento, le clausole contrattuali standard; NOYB che denunciato il caso alla Corte Ue tuttavia rilevava (in uno dei suoi comunicati) che detta soluzione non poteva comunque risolvere le criticità sollevate dalla sentenza, che sono connesse al sistema giuridico statunitense e dunque, senza una riforma apparirebbero non risolvibili”, dice a Cybersecurity360 Marina Carbone, avvocata esperta di privacy..
Meta fuori dall’Europa? Che potrebbe fare
Già Meta ha lanciato l’allarme che potrebbe essere costretta a lasciare l’Europa, ma non è chiaro se lo farà davvero o solo minaccia di farlo come strumento di pressione politica.
Nel modulo Q-10 e nella relazione sugli utili del primo trimestre 2023, l’azienda ha spiegato agli investitori l’impatto dell’imminente decisione finale della Commissione irlandese per la protezione dei dati sulla legalità dei trasferimenti UE-USA.
La decisione, secondo l’azienda, potrebbe costringere Meta a interrompere le sue operazioni nell’UE se non viene concessa una decisione di adeguatezza attraverso il proposto quadro sulla privacy dei dati UE-USA prima che l’ordine abbia effetto. Inoltre, Meta ha scritto di mettere in conto una multa pecuniaria potenzialmente elevata e misure correttive da parte del Garante dopo le raccomandazioni del Comitato europeo per la protezione dei dati.
“Ci aspettiamo che a maggio la Commissione irlandese per la protezione dei dati emetta una decisione in merito all’indagine precedentemente resa nota sui trasferimenti transatlantici di dati degli utenti di Facebook nell’UE/SEE, che includa un ordine di sospensione di tali trasferimenti e una multa”, ha spiegato Meta nella sua relazione sugli utili.
Nel documento Q-10, Meta ha aggiunto che la multa potrebbe essere “sostanziale” e si aspetta che l’ordine del DPC richieda all’azienda “di rendere le sue operazioni di trattamento rilevanti conformi al GDPR”. Disclosure ha anche spiegato la potenziale strada da percorrere dopo la decisione finale del DPC.
“Ci aspettiamo che le scadenze per conformarsi alla decisione del DPC non siano precedenti al quarto trimestre del 2023”, ha scritto Meta. “Una volta emessa la decisione finale, avremo l’opportunità di fare appello e chiedere una sospensione”.
“Quello che può succedere è che Facebook sia costretta, in assenza di una base giuridica adeguata, e in assenza di un importante cambiamento legislativo e di un nuovo accordo tra UE e USA, a sospendere il trasferimento”, dice Carbone. E quindi uscire dall’Europa.
Ma secondo Carbone è un’ipotesi improbabile: “Ritengo molto più probabile che si andrà a cercare altre soluzioni, soprattutto tecniche, che permettano di fruire ugualmente dei dati. Sinora abbiamo visto che Meta ha comunque sempre cercato di trovare soluzioni normative che venissero incontro alle problematiche sollevate dalle autorità”.
“Molto probabilmente si andrà ad applicare una delle deroghe previste dall’art 49. Tra cui anche il legittimo interesse cogente del titolare”.
Sarà interessante anche vedere come deciderà l’autorità perché potrebbe fornire anche in sede di decisione degli spunti su quelle che potrebbero essere le soluzioni da percorrere”.
Meno ottimista l’avvocato esperto di privacy Andrea Michinelli: “nessuno sa come uscire dal problema con le attuali norme e misure; se non si trova un nuovo accordo Privacy Framework Usa – Europa il blocco di Facebook è possibile”.
Il nuovo Privacy Framework
Un nuovo meccanismo di trasferimento dei dati che sostituisca l’attuale Privacy Shield (destituito dalla Corte Ue) rimane la soluzione principale per i problemi di trasferimento di Meta, secondo la maggior parte degli esperti..
La tempistica per la finalizzazione di un nuovo meccanismo rimane indeterminata, in quanto la Commissione europea sta lavorando alla decisione finale di adeguatezza con gli Stati Uniti nell’ambito del DPF (Data Privacy Framework) UE-USA proposto dagli Usa. Il Commissario europeo per la Giustizia Didier Reynders ha precedentemente indicato che il DPF potrebbe essere finalizzato già a luglio, il che potrebbe essere giusto in tempo se l’ordine prevede una finestra di attuazione di tre mesi, come è avvenuto per alcuni ordini precedenti.
“Le nostre consultazioni in corso con i responsabili politici su entrambe le sponde dell’Atlantico continuano a indicare che il nuovo quadro sulla privacy dei dati proposto dall’UE e dagli Stati Uniti sarà pienamente attuato prima della scadenza per la sospensione di tali trasferimenti, ma non possiamo escludere la possibilità che non sia completato in tempo”, ha scritto Meta nella sua relazione sugli utili. “Valuteremo inoltre se e in che misura la decisione (del DPC) potrebbe avere un impatto sulle nostre operazioni di trattamento dei dati anche dopo l’entrata in vigore di un nuovo quadro normativo sulla privacy”.
Nel corso di una telefonata con gli investitori in cui si è discusso del deposito, il direttore finanziario di Meta Susan Li ha dichiarato che “ci sono molte cose che non sappiamo in termini di specifiche” e “importanti variabili” riguardanti l’ordine del DPC. Li ha aggiunto che i fattori sconosciuti, tra cui “la durata dell’ordine”, saranno “importanti per determinare l’impatto complessivo” sull’azienda in futuro.
Per quanto riguarda la portata più ampia dell’ordine incombente, Fennessy ha dichiarato: “Questo potrebbe portare le aziende dell’UE a richiedere la localizzazione dei dati ai partner commerciali statunitensi o a passare ad alternative nazionali. Questi spostamenti potrebbero superare il processo di adeguatezza. I professionisti della privacy di tutti i settori dovrebbero preparare i loro amministratori delegati e i loro consigli di amministrazione a significative interruzioni del trasferimento dei dati nei mesi a venire”.
