mercoledì 24 maggio 2023
Maxi sanzione per Meta: dopo una causa durata dieci anni per trasferimento di dati negli Stati Uniti da parte di Facebook, Meta dovrà pagare 1.2 miliardi.
Maxi sanzione a Meta: il contesto
C'è di nuovo lo zampino di Max Schrems e della sua associazione di promozione per i diritti digitali Noyb - European Centre for Digital Rights nella maxi sanzione inferta a Meta. L'origine della vicenda si ha nel 2013, quando Edward Snowden ha divulgato documenti riservati che provavano come l'NSA (National Security Agency statunitense) avesse implementato un gigantesco meccanismo di sorveglianza di massa che ha sfruttato anche i dati provenienti da società come Microsoft, Apple, Meta e altri. Dopo queste rivelazioni Schrems ha fatto causa a Meta (allora ancora Facebook) per non aver protetto i suoi dati personali. Questa denuncia ha dato il via alla prima battaglia legale sul trasferimento dei dati degli utenti negli USA, che hanno una legislazione molto più permissiva di quanto concesso dal GDPR in termini di accesso dei servizi segreti ai dati raccolti dalle big tech.
Il provvedimento del Garante irlandese (in passato al centro delle polemiche e sottoposto a tre procedimenti giudiziari per inazione nei confronti di Meta) impone a Meta, oltre la maxi sanzione, anche modifiche organizzative. Nel quantificare la sanzione, il Garante irlandese si è basato sulla decisione vincolate 1/2023, nella quale l'EDPB ha indicato i parametri da tenere in considerazione per quantificare le sanzioni.
Questa sanzione di 1,2 miliardi di euro è la più alta mai inflitta, visto che ha superato anche quella che, nel 2021, il Garante del Lussemburgo impose ad Amazon (746 milioni di euro).
Ma quale è la motivazione che ha portata ad una sanzione così alta?
Veniamo al nocciolo della questione: questo è l'ennesimo provvedimento contro Meta per trasferimento massivo di dati negli Stati Uniti. La sanzione infatti è stata comminata per violazione dell'art.46 comma 1 GDPR, avendo Meta continuato a trasferire dati negli USA anche dopo la sentenza della Corte di Giustizia UE che ha invalidato il Privacy Shield. La motivazione, insomma, è la stessa che ha portato al ban di Google Analytics (3), ma anche dei tool Facebook Login e Facebook Pixel.
Sul caso in oggetto il Garante irlandese ha coinvolto anche l'EDPB e le parole di Andrea Jelinek, presidente EDPB, sono chiarissime:
“L’EDPB ha ritenuto che l’infrazione di Meta IE sia molto grave in quanto riguarda trasferimenti sistematici, ripetitivi e continui. Facebook ha milioni di utenti in Europa, quindi il volume di dati personali trasferiti è enorme. La multa senza precedenti è un segnale forte per le organizzazioni che gravi violazioni hanno conseguenze di vasta portata”.
Una specifica: la decisione del Garante irlandese rigurda soltanto Facebook dei vari servizi Meta: Instagram o altre aziende che hanno trasferito dati nello stesso modo per adesso non sono riguardate da decisioni.
Il Garante irlandese impone anche una serie di modifiche organizzative
Il provvedimento del Garante non prevede soltanto la sanzione amministrativa. Infatti ci sono anche previsioni organizzative alle quali Meta non potrà sottrarsi. In dettaglio Meta:
- dovrà sospendere il trasferimento di dati entro tempistiche corrispondenti a quanto previsto dall'ordinanza di sospensione;
- ha l'obbligo di cessare entro 6 mesi dalla data di notifica del provvedimento il trattamento dati illecito, compresa la memorizzazione negli USA dei dati di utenti europei.
Concretamente Meta dovrà cancellare tutti i dati di utentri europei che ha spostato negli USA e riportarli in UE. Entro 6 mesi le operazioni di trattamenti dati di Meta dovranno conformarsi al GDPR.
Da parte sua Meta ha già annunciato ricorso ma l'unico scenario probabilmente raggiungibile potrebbe essere quello di una riduzione della sanzione e una sospensione del ban. Difficilmente la decisione del Garante Irlandese potrà essere ribaltata. Il motivo è presto detto: la Corte di Giustizia UE ha già stabilito in precedenza che non esistono basi giuridiche che possano legittimare trasferimenti dati negli USA, neppure le condizioni contrattuali standard usate da Meta per continuare a trasferire i dati. Le clausole contrattuali standard infati non garantiscono sufficienti tutele e protezione dei dati nei fronti dell'accesso a tali dati da parte delle varie agenzie di sorveglianza USA.
Trasferimento dati negli USA: a che punto siamo?
Per saperne di più >
CONDIVIDI QUESTA PAGINA!