Meta è stata multata per la cifra record di 1,2 miliardi di euro e gli è stato ordinato di interrompere i trasferimenti di dati personali dall’UE agli Stati Uniti in una decisione storica del regolatore irlandese che si pronuncia su tali trasferimenti illegali.
Il Commissario irlandese per la protezione dei dati (Commissario irlandese per la protezione dei datiDPC), la principale autorità europea competente per Meta, lunedì (22 maggio) ha imposto una sanzione record ai sensi del Regolamento generale sulla protezione dei dati (GDPR), ponendo fine a una lunga indagine iniziata nell’agosto 2020.
La società tecnologica ha fino a sei mesi dopo aver ricevuto la decisione di interrompere il trasferimento e l’elaborazione dei dati dei cittadini dell’UE negli Stati Uniti, il che significa che i dati devono essere cancellati o spostati in Europa.
Là Decisione si basa sulla sentenza Schrems II della Corte di giustizia dell’Unione europea (CGE), che ha rilevato che il sistema giuridico statunitense non garantisce un’adeguata protezione dei dati secondo gli standard dell’UE a causa dell’accesso sproporzionato e innegabile dei servizi segreti.
A dicembre, la Commissione europea ha adottato il suo progetto di decisione di adeguatezza per certificare il quadro UE-USA per la protezione dei dati personali (Quadro sulla privacy UE-USA), che deve essere adottato entro la fine dell’anno per creare un nuovo quadro giuridico per i trasferimenti transatlantici di dati.
La domanda è quindi se Meta sarà in grado di ritardare l’interruzione dei trasferimenti di dati fino a quando il nuovo framework non sarà operativo. In una dichiarazione sulla decisione, Meta ha affermato che non ci saranno interruzioni immediate per Facebook in Europa, ma presenterà ricorso contro i risultati e chiederà una sospensione in tribunale.
L’indagine contro Meta Ireland è stata avviata nell’agosto 2020 e si basa su questioni di lunga data sulla legalità dei trasferimenti di dati tra gli Stati Uniti e l’Unione Europea.
Una bozza di decisione è stata finalizzata nel luglio dello scorso anno, rilevando che i trasferimenti di dati della società violavano il GDPR dell’UE e ne richiedevano l’immediata sospensione.
Il caso ha inoltre concluso che i trasferimenti di dati basati su clausole contrattuali standard devono includere garanzie che forniscano agli interessati tutele sostanzialmente equivalenti a quelle garantite dal GDPR e dalla Carta dei diritti fondamentali dell’UE.
Il progetto di decisione è stato quindi presentato al comitato europeo per la protezione dei dati, che riunisce tutte le autorità europee per la protezione dei dati. Tutte le autorità hanno accettato la proposta del regolatore irlandese di ordinare la sospensione dei trasferimenti di dati.
Tuttavia, quattro autorità si sono opposte ai poteri correttivi proposti dal DPC, sostenendo che Meta dovrebbe essere multato per aver violato. Due di queste quattro autorità hanno anche richiesto un’azione sul trattamento dei dati personali trasferiti illegalmente negli Stati Uniti dal luglio 2020.
Il DPC ha respinto tale argomento e la questione è stata deferita al meccanismo di risoluzione delle controversie del comitato, che ha emesso una decisione vincolante il mese scorso.
Di conseguenza, il colosso tecnologico è stato colpito da una sanzione amministrativa di 1,2 miliardi di euro, la più alta mai registrata per una violazione del GDPR, battendo il record precedente contro Amazon di 746 milioni di euro.
La decisione finale ha rilevato che Meta aveva violato il diritto dell’UE e che mentre i trasferimenti sono stati effettuati sulla base di clausole contrattuali standard stabilite dalla Commissione, non hanno tenuto conto delle minacce ai diritti e alle libertà fondamentali. Persone interessate, dettagliate da Lo ha deciso la Corte di giustizia dell’Unione europea nella sentenza Schrems II.
L’Autorità irlandese ha quindi ordinato a Meta di cessare ogni futuro trasferimento di dati personali verso gli Stati Uniti entro cinque mesi dalla notifica della decisione e di sospendere il trattamento illecito, inclusa la conservazione, negli Stati Uniti dei dati personali degli utenti europei, che costituisce una violazione entro sei mesi dall’annuncio del GDPR.
“In definitiva, la revoca del Privacy Shield nel 2020 è stata causata da un conflitto legale fondamentale tra le regole del governo degli Stati Uniti sull’accesso ai dati e i diritti alla privacy degli europei. Questo è un conflitto che né Meta né nessun’altra azienda può risolvere da sola».ha spiegato Meta in un comunicato.
“Siamo quindi delusi di essere stati messi da parte pur utilizzando gli stessi meccanismi legali di migliaia di altre società che cercano di fornire servizi in Europa”.ha aggiunto la società.
NOYB, un gruppo per la privacy guidato dall’attivista Max Schrems che ha avviato la causa originale, ha affermato che mentre era probabile una chiamata da Meta, le violazioni della società hanno reso improbabile il suo successo, rilevando l’importanza del nuovo accordo di trasferimento dei dati dell’UE.
“Meta prevede di fare affidamento sul nuovo accordo per trasferimenti futuri, ma è improbabile che sia una soluzione permanente”.Schrems ha affermato in una dichiarazione dopo la pubblicazione della decisione, aggiungendo che anche il quadro sulla protezione dei dati dovrebbe essere ribaltato dal tribunale.
Questa decisione contro il trasferimento di dati negli Stati Uniti non è affatto la prima presa da un’autorità europea per la protezione dei dati. L’anno scorso, alla luce della sentenza Schrems II, l’Italia e la Francia si sono unite all’Austria e hanno vietato l’uso di Google Analytics.
Nell’aprile 2023, il regolatore austriaco ha anche stabilito che l’uso del pixel di tracciamento da parte di Facebook violava sia la giurisprudenza che il GDPR.
[Édité par Anne-Sophie Gayet]
