La Commissione Irlandese per la protezione dei dati avrebbe raggiunto una decisione definitiva circa la potenziale sospensione dei trasferimenti dati da parte di Facebook verso gli Stati Uniti. La notizia emerge dal The Irish Times.
Indice degli argomenti
Garante privacy irlandese e Meta: dove siamo arrivati
L’autorità avrebbe concesso a Meta, società cui fanno capo diverse piattaforme utilizzate in tutto il mondo (Instagram, Facebook e WhatsApp), un termine pari a 28 giorni per esporre le proprie difese, prima che la decisione, nella sua versione rivista e corretta, venga presentata ai membri del Comitato Europeo per la protezione dei dati (o EDPB), ai sensi dell’art. 60 GDPR, presumibilmente in aprile.
Una volta aperto il procedimento di revisione innanzi all’EDPB, potrebbero volerci ancora dei mesi per giungere alla decisione definitiva. Sul punto, Meta ha affermato che non si tratta di una decisione finale, bensì di osservazioni legali richieste per la disamina della controversia, aggiungendo che un arresto definitivo e improvviso dei trasferimenti di dati verso gli USA sarebbe “dannoso” sia per le imprese che per i cittadini, che indubbiamente beneficiano di molti dei servizi resi dal Gruppo, anche in termini economici.
Accesso ai dati, come fare: tutte le istruzioni dell’EDPB nelle nuove linee guida
Meta, le origini della controversia sul trasferimento dei dati
Il caso di cui si discute trae origine da una denuncia dell’attivista Max Schrems (da cui prende il nome la nota sentenza Schrems II, che ha visto decadere l’efficacia del Privacy Shield), il quale sostiene che i dati dei cittadini europei sono sottoposti ad un rischio eccessivamente elevato nel momento in cui vengono trasferiti negli Stati Uniti, a causa di alcune limitazioni connesse al medesimo impianto normativo statunitense. Si tratta di una delle molteplici contestazioni mosse nei confronti delle Big Tech e, in particolare, di Facebook, finalizzata a garantire una maggiore sicurezza e trasparenza nei confronti dei cittadini europei, i cui dati rappresentano, per le grandi società del web, un vero e proprio patrimonio, da cui poter trarre profitto grazie al targeting pubblicitario e alla fornitura di servizi collaterali a quelli social.
La denuncia di Schrems ha rappresentato la spinta per poter avviare una serie di indagini, caldeggiate anche dalle altre Autorità Garanti europee interessate, le quali avevano più volte provveduto ad attivare meccanismi di cooperazione e di risoluzione delle controversie che consentissero di giungere ad una decisione condivisa. Un esempio dell’efficacia del meccanismo di risoluzione delle controversie, in particolare, si è riscontrato nel caso Whatsapp, che ha visto l’erogazione, da parte del Garante Irlandese, di una multa di ben 225 milioni di euro per violazione degli obblighi di trasparenza in merito alle basi giuridiche legittimanti il trattamento dei dati personali, a seguito dell’intervento degli altri garanti.
Cosa dice la Commissione irlandese
Come anticipato in premessa, un portavoce della Commissione Irlandese ha affermato, con riferimento alla successiva fase di condivisione dei risultati delle indagini con le altre autorità garanti interessate, al The Irish Times che “Meta ha 28 giorni per presentare osservazioni su questa decisione preliminare, a quel punto prepareremo un progetto di decisione dell’articolo 60 per altre autorità di vigilanza interessate (CSA). Prevedo che questo accadrà ad aprile”.
Sul contenuto della bozza anche i portavoce di Meta si sono pronunciati, affermando di aver “ricevuto una versione rivista di una bozza preliminare di decisione, questa non è una decisione finale e l’irlandese [commissario per la protezione dei dati] ha chiesto ulteriori osservazioni legali”. “Sospendere i trasferimenti di dati sarebbe dannoso non solo per i milioni di persone, enti di beneficenza e imprese nell’UE che utilizzano i nostri servizi, ma anche per migliaia di altre società che si affidano ai trasferimenti di dati UE-USA per fornire un servizio globale”, hanno aggiunto, concludendo che “È necessaria una soluzione a lungo termine sui trasferimenti di dati UE-USA per mantenere le persone, le imprese e le economie connesse”.
Tuttavia, in assenza della possibilità di trasferire i dati negli Stati Uniti, Meta potrebbe, come detto, dover eliminare i servizi negli stati europei, salvo che non si opti, in sede di applicazione del meccanismo di cooperazione fra le Autorità Garanti, per una soluzione differente.
Il dibattito sul tema
A quanto anticipato sinora, occorre aggiungere che l’Alta Corte irlandese, lo scorso anno, aveva respinto tutti i reclami procedurali proposti da Facebook proprio avverso la versione preliminare della decisione della Commissione Irlandese per la protezione dei dati personali in merito ai trasferimenti di dati dall’UE agli Stati Uniti. Le sentenze rese dai tribunali irlandesi, sulla falsa riga di quanto stabilito dalla Corte di Giustizia dell’UE con la citata sentenza Schrems II, avevano aperto alla possibilità che Facebook potesse, in mancanza di una soluzione circa il trasferimento di dati verso gli Stati Uniti, dover interrompere detti flussi.
Tale soluzione, secondo quanto riferito dai portavoce della Commissione, sarebbe contenuta anche all’interno della decisione attualmente in fase di approvazione: sarebbe, infatti , previsto nella bozza di decisione un vero e proprio ordine di sospensione dei trasferimenti di dati verso gli Stati Uniti, con conseguenze di portata talmente vasta da portare, potenzialmente, Meta a decidere di sospendere i servizi all’interno del territorio Europeo, non potendo nell’immediato disporre di soluzioni tecniche e normative adeguate a colmare l’assenza di uno strumento di garanzia come il precedente Privacy Shield. La sospensione dei servizi da parte di un’azienda del calibro di Meta, la cui presenza influenza innegabilmente la vita, sia professionale che personale, di quasi l’interezza dei cittadini europei, potrebbe avere conseguenze estremamente rilevanti per il mercato.
Non si deve pensare, infatti, ai soli servizi resi da Meta, ma a tutti i servizi digitali che sono forniti da aziende con sede negli Stati Uniti d’America e, dunque, soggette ai medesimi obblighi di disclosure cui deve sottostare il gruppo di Zuckerberg. Molti di questi servizi sono, ora come ora, strategici soprattutto per le aziende che operano all’0interno del mercato europeo, che riescono a beneficiare di una serie di vantaggi sia in termini economici che di visibilità del proprio brand (si pensi, a titolo esemplificativo, a tutte le aziende che fanno uso dei social per comunicare con i propri utenti e sponsorizzare i loro prodotti, a costi estremamente ridotti) L’ex vice primo ministro del Regno Unito commentava, inoltre, già all’avvio dell’indagine da parte della Commissione irlandese per la protezione dei dati, che il problema connesso al divieto di trasferire i dati in USA avrebbe potuto non risolversi mediante il ricorso alle Clausole Contrattuali Standard: “La Commissione irlandese per la protezione dei dati”, scriveva, “ha suggerito che gli SCC non possono in pratica essere utilizzati per i trasferimenti di dati UE-USA”. “Mentre questo approccio” aggiungeva, “è soggetto a ulteriori processi, se seguito, potrebbe avere un effetto di vasta portata sulle aziende che si affidano alle SCC e ai servizi online su cui molte persone e aziende fanno affidamento”.
L’uso delle SCC
Infatti, nell’impossibilità di utilizzare come garanzia e base giuridica per il trasferimento dei dati persino le SCC, Facebook e le aziende con sede negli USA potrebbero dover separare la maggior parte dei dati che vengono raccolti sugli utenti europei, ove possibile, con possibile lesione dell’economia globale, anche interna, e riduzione della crescita digitale. I meccanismi legali contestati per il trasferimento di dati tra l’UE e gli Stati Uniti, sono, infatti, utilizzati da migliaia di gruppi imprenditoriali in tutta l’Unione Europea.
D’altro canto, la spinta economica conseguente all’ordine di sospensione dei trasferimenti dei dati, potrebbe rappresentare la spinta necessaria ad attivare un processo di riforma legislativo statunitense, consentendo di superare gli ostacoli normativi e di costruire un impianto legale coerente ai principi contenuti dal GDPR (oggi condivisi dalle principali regolamentazioni sul trattamento dei dati personali). Ad oggi, infatti, i negoziati fra l’UE E gli Stati Uniti non hanno ancora portato al raggiungimento di un accordo sostitutivo del Privacy Shield che consenta di proseguire i trasferimenti.
