La Commissione per la protezione dei dati irlandese (Data Protection Commission, DPC) ha deciso di imporre una multa da 1,2 miliardi di euro a Meta, società madre di Facebook e Instagram, per aver violato la normativa europea sulla privacy. L’autorità ha anche ordinato al colosso statunitense di interrompere il trasferimento dei dati personali dell’UE negli Stati Uniti, in una decisione storica che ha giudicato illegali tali trasferimenti di dati.
La multa emessa dall’autorità irlandese è la più salata mai registrata ai sensi del Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation) e si pone a conclusione di una lunga indagine iniziata nell’agosto 2020.
La Big Tech avrà tempo fino a sei mesi dal ricevimento della decisione per interrompere il trasferimento e l’elaborazione dei dati dei cittadini europei negli Stati Uniti, il che significa che i dati dovranno essere cancellati o trasferiti in Europa. La decisione si basa sulla sentenza Schrems II della Corte di giustizia dell’UE, dal nome dell’attivista Max Schrems che ha avviato il caso giudiziario, secondo la quale il regime giuridico statunitense non fornisce un’adeguata protezione dei dati secondo gli standard europei a causa dell’accesso “sproporzionato e incontestabile” dei servizi di intelligence.
A dicembre 2022, la Commissione UE ha adottato la bozza sulla decisione di adeguatezza che certifica il quadro sulla privacy dei dati UE-USA, che dovrebbe essere adottato entro la fine dell’anno per fornire un nuovo quadro giuridico per il trasferimento transatlantico dei dati.
Si tratta quindi di capire se Meta riuscirà a posticipare l’interruzione dei trasferimenti di dati fino all’entrata in vigore del nuovo quadro. In una dichiarazione, il colosso statunitense ha affermato che non ci saranno interruzioni immediate per Facebook in Europa, ma che ricorrerà in appello e chiederà una sospensione ai tribunali.
Sebbene l’indagine su Meta Ireland sia stata avviata nell’agosto 2020, le sue radici risiedono in una questione di lunga data sulla legalità dei trasferimenti di dati tra Stati Uniti e Unione Europea dell’azienda. Nel luglio dello scorso anno è stata presentata una bozza di decisione che ha stabilito che i trasferimenti di dati dell’azienda violavano il GDPR dell’UE e ne imponeva l’immediata sospensione. Il caso ha inoltre concluso che i trasferimenti di dati basati su clausole contrattuali standard devono includere garanzie che forniscano agli interessati tutele sostanzialmente equivalenti a quelle garantite dal GDPR e dalla Carta dei diritti fondamentali dell’UE.
Il progetto di decisione è stato successivamente presentato al Comitato europeo per la protezione dei dati, che riunisce tutte le autorità europee per la protezione dei dati. Tali autorità si sono dichiarate d’accordo con la proposta del regolatore irlandese di ordinare la sospensione dei trasferimenti di dati. Tuttavia, quattro di loro hanno sollevato obiezioni sui poteri correttivi proposti dal DPC, sostenendo che Meta avrebbe dovuto pagare una multa per la violazione. Due delle quattro autorità hanno anche chiesto di intervenire sui dati personali già trasferiti illegalmente negli Stati Uniti dal luglio 2020. L’autorità irlandese ha però respinto questa richiesta e la questione è stata deferita al meccanismo di risoluzione delle controversie del Consiglio, in base al quale il mese scorso è stata emessa una decisione vincolante.
A Meta è stata così comminata una multa amministrativa di 1,2 miliardi di euro per la violazione del GDPR, che ha superato il precedente record stabilito nel 2021 contro Amazon con 746 milioni di euro.
La decisione finale ha stabilito che Meta ha violato il diritto dell’UE e che, anche se i suoi trasferimenti sono stati effettuati sulla base delle clausole contrattuali standard delineate dalla Commissione, non hanno preso in considerazione le minacce ai diritti e alle libertà fondamentali degli interessati descritte dalla Corte di giustizia europea nella sentenza Schrems II.
L’autorità irlandese ha quindi ordinato a Meta di cessare qualsiasi futuro trasferimento di dati personali verso gli Stati Uniti entro cinque mesi dalla notifica della decisione e di sospendere il trattamento illegale, compresa la conservazione, negli Stati Uniti di dati personali appartenenti a utenti europei in violazione del GDPR, entro sei mesi dalla notifica.
