Schrems colpisce ancora. Multa record del Garante Irlandese a Meta, per uso di dati europei da parte di Facebook: 1 miliardo e 200 milioni di euro. E adesso si apre una voragine che chissà quando e se sarà colmata tra Europa e Meta.
Il provvedimento del DPC (Garante privacy irlandese) si basa sulla decisione vincolante dell’EDPB 1/2023 del 13 aprile 2023, che indicava i parametri di quantificazione della sanzione da infliggere a Meta, come previsto la scorsa settimana (vedi sotto).
Meta, sanzione privacy 1,2 miliardi e rischio blocco di Facebook in Europa
Indice degli argomenti
I provvedimenti contro Meta dal Garante privacy irlandese e da Edpb
La decisione del Garante irlandese conta 222 pagine, in cui vengono analizzate dettagliatamente le ragioni storiche, di fatto e diritto, che hanno portato alla sanzione più alta mai elevata per la violazione del GDPR.
Il Garante irlandese si è, a sua volta, basato sulla decisione vincolate dell’EDPB numero 1 del 2023, resasi necessaria perché erano emerse vedute diverse sul progetto di decisione.
Nel comunicato stampa dell’EDPB si legge, infatti, che “le decisioni vincolanti dell’EDPB affrontano solo i disaccordi su un progetto di decisione, che sono esposti dai CSA (Autorità Garanti, nda) in obiezioni pertinenti e motivate. La decisione vincolante dell’EDPB non menziona un ordine di sospensione, perché non vi erano obiezioni su questo aspetto della bozza di decisione dell’IE DPA (Garante irlandese, nda); tutti i CSA avevano già concordato l’imposizione di un provvedimento di sospensione”.
La ragione che ha determinato la sanzione è presto detta: il trasferimento massivo di dati negli Stati Uniti, in contrasto con le sentenze Schrems.
Le stesse ragioni per cui, per capirci era stato disposto il ban di Google Analytics 3.
Nel caso di Meta, la sanzione riguarda unicamente le clausole contrattuali standard di Facebook in vigore dal 16 luglio 2020.
Il Garante irlandese ha verificato che Facebook Ireland aveva mutato denominazione in Meta Ireland e che la maggioranza assoluta del capitale restava in mano statunitense.
Ha poi verificato che il controllo predominante esercitato sula controllata europea non consentiva a quest’ultima di opporre la corretta applicazione del GDPR alla controllante statunitense, obbligata, per l’effetto a trasferire i dati negli States.
Nella decisione, a pagina 58, si legge infatti che: “In sintesi, quindi, in effetti, risulta che: (1) Meta Ireland continua i trasferimenti di dati fino alle SCC del 2021 e entro riferimento alle valutazioni contenute o comprese nel TIA;
(2) Meta US è conforme alla legge statunitense e ciò include il rispetto delle richieste di accesso effettuate dal governo degli Stati Uniti quando tali richieste di accesso sono effettuate in conformità con la legge statunitense”.
Tra gli antecedenti logici e di fatto citati nella decisione, viene citato il caso “Snowden”: Nel giugno 2013, Edward Snowden, un appaltatore incaricato tramite una terza parte di intraprendere il lavoro per conto della US National Security Agency (“NSA”), ha divulgato documenti che rivelano l’esistenza di uno o più programmi gestiti dalla NSA in cui Internet e le telecomunicazioni sistemi gestiti da alcune delle più grandi società tecnologiche del mondo, tra cui, a titolo di ad esempio, Microsoft, Apple, Meta US e altri, sono stati oggetto di programmi di sorveglianza”.
Il ruolo dell’EDPB
Come visto in precedenza, data la natura del provvedimento, il Garante irlandese aveva interessato l’EDPB che non si è certo tirato indietro, anzi.
Data l’entità della violazione e delle implicazioni economiche e politiche della decisione, ha imposto, con decisione vincolante, al Garante irlandese di comminare una sanzione elevatissima, che si collocasse tra il 20 ed il 100% di quanto previsto dal GDPR.
In questo non è chiaro se abbia puntellato il Garante irlandese o se questo avesse preferito imporre una sanzione inferiore.
Sta di fatto che nel comunicato stampa dell’EDPB si legge che “Andrea Jelinek, presidente dell’EDPB, ha dichiarato: “L’EDPB ha ritenuto che l’infrazione di Meta IE sia molto grave in quanto riguarda trasferimenti sistematici, ripetitivi e continui. Facebook ha milioni di utenti in Europa, quindi il volume di dati personali trasferiti è enorme. La multa senza precedenti è un segnale forte per le organizzazioni che gravi violazioni hanno conseguenze di vasta portata”.
La decisione finale del Garante Irlandese
Alla fine, il Garante irlandese ha deciso, eccome (pagine 212 e 213, traduzione mia):
“Sono convinto (e così decido) che sia opportuno che io eserciti poteri correttivi nei confronti di Meta Ireland, in qualità di Titolare del trattamento pertinente, come segue:
- (i) Ordino, ai sensi dell’Articolo 58(2)(j) GDPR, per richiedere a Meta Ireland di sospendere i Trasferimenti di dati in conformità con la tempistica indicata di seguito (“Ordinanza di sospensione”);
- (ii) a seguito della determinazione dell’EDPB di cui al paragrafo 267 dell’articolo 65 Decisione, ordino ai sensi dell’articolo 58 (2) (d) GDPR per richiedere Meta Ireland per rendere le sue operazioni di trattamento conformi al Capo V GDPR, cessando il trattamento illecito, inclusa la memorizzazione, negli Stati Uniti dei dati personali degli utenti del SEE trasferiti in violazione del GDPR, entro 6 (sei) mesi dalla data di notifica della presente decisione a Meta Ireland;
- (iii) infliggo, ai sensi dell’articolo 58, paragrafo 2, lettera i), del GDPR, una sanzione amministrativa pecuniaria pari a 1,2 miliardi di euro. Ritengo che una sanzione amministrativa di tale importo rifletta le valutazioni dell’articolo 83, paragrafo 2 e dell’articolo 83, paragrafo 1, del GDPR che sono registrate nella precedente sezione 9”.
E se non fosse sembrato sufficientemente chiaro (pagina 214, traduzione mia):
“Questa decisione vincolerà solo Meta Ireland. È chiaro, tuttavia, che l’analisi contenuta nella presente decisione espone una situazione in cui qualsiasi piattaforma Internet rientra nella definizione di fornitore di servizi di comunicazione soggetto al programma FISA 702 PRISM potrebbe non essere compliant con i requisiti del Capo V del GDPR e della Carta dei diritti fondamentali dell’UE per quanto riguarda i loro trasferimenti di dati personali negli Stati Uniti. Questo punto è stato sollevato dal DPC prima l’Alta Corte irlandese e la CGUE quando ha sollevato dubbi sulla validità della SCC strumenti in particolare come meccanismo alla base dei trasferimenti verso gli Stati Uniti. Nel caso, la CGUE ha confermato la validità delle SCC come strumento giuridico, sottolineandone la necessità intraprendere una valutazione caso per caso per determinare se, in un dato caso, i trasferimenti di dati verso un paese terzo condotte secondo le loro condizioni sono lecite o meno. Nelle circostanze, e nonostante le conclusioni formulate dalla CGUE nella sentenza in relazione al diritto statunitense, il DPC deve emettere un ordine di sospensione o un divieto di trasferimenti verso gli Stati Uniti”.
Che succede ora
Meta ha annunciato ricorso, ma può ragionevolmente sperare solo in una diminuzione della sanzione ed in una sospensione del ban. Senza la sospensione del resto c’è il rischio blocco Facebook in Europa, come di recente paventato dalla società.
Di certo non potrà ribaltare la decisione, che si basa sulla giurisprudenza consolidata della Corte di Giustizia dell’Unione europea.
Va detto che l’EDPB ha alzato di moltissimo il livello dello scontro sul trasferimento ei dati verso paesi terzi che non rispettano il GDPR, di fatto affermando che il regolamento europeo sul trattamento dei dati ha portata universale.
E’ interessante notare che la protezione dei “confini digitali” è perseguita, sul piano europeo, con una feroci che non si registra con riferimento ai confini fisici.
Sarà perché la battaglia, qui, si combatte in tribunale e sul piano strettamente economico; se lo scontro si spostasse su quello militare – o anche di cyberwar – il discorso sarebbe diverso.
Per ora il Garante irlandese si pone come avanguardia assoluta della lotta al trasferimento dei dati degli europei verso paesi che li utilizzano in violazione del GDPR: siamo all’alba di un nuovo capitolo delle GDPR Wars.
