L’European Data Protection Board, per mezzo della Irish Data Protection Commission, ha comminato una sanzione di 1.2 miliardi di euro a Meta, a causa delle reiterate violazioni delle leggi europee sulla privacy di Facebook, rea di aver continuamente trasferito i dati degli utenti europei sui server statunitensi.
Il provvedimento è stato sancito dal Garante per la privacy irlandese, competente per giurisdizione in quanto Meta ha la propria sede europea presso Dublino, per evidenti ragioni di opportunità fiscali.
La sanzione comminata alla holding fondata da Mark Zuckerberg rappresenta una cifra record per l’Europa, in quanto supera nettamente anche la multa comminata dal garante lussemburghese ad Amazon nel corso del 2021, per un totale di 746 milioni di euro. Secondo Andrea Jelinek, presidente del European Data Protection Board, le violazioni di Meta: “Sono molto gravi in quanto riguardano trasferimenti di dati personali sistematici, ripetitivi e continuativi. […] Facebook ha milioni di utenti in Europa, per cui il volume dei dati personali trasferiti è enorme. Questa sanzione senza precedenti è un segnale forte alle organizzazioni circa il fatto che le violazioni gravi comportano conseguenza di ampia portata”.
L’ente regolatore europeo ha ribadito che l’elaborazione e l’archiviazione dei dati personali negli Stati Uniti, prassi regolarmente adoperate da Facebook, violano i disposti del capitolo 5 del GDPR (Regolamento Generale sulla Protezione dei Dati, consultabile qui), che stabiliscono nel dettaglio le condizioni con cui i dati personali possono essere trasferiti in paesi fuori dallo spazio economico europeo.
Il garante irlandese ha concesso a Meta sei mesi per interrompere il trasferimento dei dati personali degli utenti europei sui propri server negli Stati Uniti, ai fini di evitare l’interruzione forzata del servizio.
La pesante multa inflitta a Meta per il trattamento dati di Facebook crea un precedente che non potrà essere ignorato e che potrebbe avere una portata molto importante anche sulle sorti di migliaia di altre organizzazioni che utilizzano servizi erogati da datacenter americani per soddisfare le esigenze di carichi di lavoro i cui dati provengono dallo spazio economico europeo.
Per mitigare le eventuali difformità rispetto al capitolo 5 del GDPR, le organizzazioni dovrebbero pertanto optare per una localizzazione dei dati, imponendo determinate pipeline ai partner americani, o ricorrere alle alternative locali, come i cloud sovrani che gli stessi hyperscaler stanno iniziando a mettere in funzione anche nel vecchio continente.
La sovranità dei dati sta diventano un aspetto sempre più centrale e dopo anni di dibattimenti, in cui soprattutto i big tech hanno approfittato del far west normativo in fieri, gli enti regolatori stanno iniziando a passare all’azione.
LEGGI ANCHE: Meta, la multa dell’Unione Europea non colpisce solo l’azienda ma il suo modello di business
La sentenza crea un precedente: le possibili mosse di Meta per “salvare” Facebook in Europa
La sentenza della Irish Data Protection Commission chiude, almeno parzialmente, una controversia intrapresa nel 2013, quando l’attivista Max Schrems denunciò l’utilizzo non conforme dei dati da parte di Facebook in Irlanda.
La vicenda ha riguardato l’operato di Facebook in tutto lo spazio economico europeo, area di competenza del GDPR, identificando nell’azione di spionaggio della NSA (National Security Agency) degli Stati Uniti una potenziale fonte di rischio per i dati dei cittadini e delle imprese europee, come allora rilevato dalle clamorose dichiarazioni del “pentito” Edward Snowden.
La reazione di Meta al provvedimento record del Garante europeo è stata immediata, con l’annuncio del sicuro ricorso in appello, per contestare in primo luogo la miliardaria sanzione che l’ha colpita. Meta ha inoltre confermato che al momento non avrebbe alcuna intenzione di interrompere il servizio di Facebook in Europa.
Attraverso una nota ufficiale, Meta ha ribadito le impressioni già espresse nella relazione sugli utili finanziari del primo trimestre dell’anno in corso, dove aveva preannunciato agli investitori lo scenario che si è attualmente concretizzato: “Ci aspettiamo che a maggio la Commissione irlandese per la protezione dei dati emetta una decisione in merito all’indagine precedentemente resa nota sui trasferimenti transatlantici di dati degli utenti di Facebook nell’UE/SEE, che includa un ordine di sospensione di tali trasferimenti e una multa”. Fatti che puntualmente si sono concretizzati con la sentenza del 22 maggio.
In particolare, Meta non ritiene di avere particolari responsabilità circa l’accaduto in quanto la radice del problema sarebbe da individuare nel conflitto legislativo tra le norme americane e quelle europee.
Non è un caso, come vedremo, che Bruxelles e Washington stiano collaborando per risolvere questo problema non un nuovo Data Privacy Framework (DPF) che dovrebbe finalmente prospettare alle organizzazioni una serie di regole chiare da seguire e soprattutto condivise da tutte le parti in causa.
Non esistono tuttavia tempi certi circa l’entrata in vigore di tale provvedimento, dal momento che non è ancora stato ufficialmente pubblicato, essendo ancora al vaglio del legislatore europeo. In altri termini, Facebook oggi non sa se il nuovo DPF entrerà in vigore entro i sei mesi concessi dal Garante irlandese per rendere il proprio servizio coerente con i disposti normativi del GDPR.
In una recente nota, Facebook ha infatti precisato che: “Le consultazioni in corso con i responsabili politici su entrambe le sponde dell’Atlantico continuano a indicare che il nuovo quadro sulla privacy dei dati proposto dall’UE e dagli Stati Uniti sarà attuato prima della scadenza indicata per la sospensione dei trasferimenti, ma non possiamo ad oggi escludere la possibilità che non sia completato in tempo […] Valuteremo inoltre se e in che misura la decisione potrebbe avere un impatto sulle nostre operazioni di trattamento dei dati anche dopo l’entrata in vigore di un nuovo quadro normativo sulla privacy”.
Il DPF dovrebbe infatti risolvere il problema alla radice, in quanto andrebbe a superare i disposti del Privacy Shield, un provvedimento che la UE aveva emanato nel 2020 per proteggere i dati dei cittadini europei dalle possibili azioni del governo americano.
Appare evidente che fino a quando UE e USA non si accorderanno ufficialmente, il Privacy Shield continuerà a costituire un’autentica spada di Damocle per le aziende americane attive all’interno dello spazio economico europeo, costrette ad operare in uno scenario piuttosto incerto.
Questa situazione è stata criticata con decisione da Nick Clegg, President of Global Affairs di Meta: “Il Garante europeo ha deliberatamente ignorato i progressi che i governi stanno facendo per risolvere la situazione tra USA e UE. […] Si tratta di una decisione viziata e ingiustificata, che introduce un pericoloso precedente per le innumerevoli società che oggi trasferiscono regolarmente i dati tra la Ue e gli USA”. Secondo Clegg inoltre: “La possibilità di trasferire i dati ovunque è fondamentale per il funzionamento di Internet, aperta e globale. Migliaia di organizzazioni si affidano alla capacità di trasferire dati tra l’UE e gli Stati Uniti per operare e fornire servizi che le persone utilizzano ogni giorno”.
Irlanda and Big Tech: la complicità e l’imbarazzo di Dublino
Negli eventi che hanno portato all’emissione della sanzione record da 1,2 miliardi di euro comminata a Meta per l’utilizzo non conforme dei dati personali da parte di Facebook, c’è una nota di curiosità. La Irish Data Protection Commission, di fatto Garante per la privacy dei dati irlandese, ha sostanzialmente affermato di non essere d’accordo sul comminare una ulteriore multa a Meta, ma di aver agito in sostanza quale braccio esecutivo del Garante europeo.
La Irish Data Protection Commission aveva già sanzionato Meta per un totale di circa un milione di dollari, per violazioni al GDPR rilevate dal 2021 ad oggi. Per questo avrebbe ritenuto il nuovo provvedimento eccessivo dal punto di vista sanzionatorio.
Non è la prima volta che Dublino assume una posizione di fatto ambigua, cercando di favorire il big tech piuttosto che l’interesse dell’ente regolatore europeo. Il caso più clamoroso è avvenuto quando Apple ha vinto una controversia con la Commissione Europea, sostenendo di aver pagato oltre 13 miliardi di euro di tasse in Irlanda, e che pertanto non avrebbe ricevuto favori di alcun genere da parte del governo locale, come invece contestato da Bruxelles. In quell’occasione, il governo irlandese si schierò apertamente al fianco della multinazionale americana.
Dublino è da diversi anni sede europea di molte importanti multinazionali americane. Oltre alle già citate Apple e Meta, figurano altri giganti del tech, come Google e Twitter. Si tratta di realtà che hanno creato migliaia di posti di lavoro e che ormai svolgono di fatto un ruolo imprescindibile nella crescita economica dell’Irlanda, capace di attrarre soggetti economici per via di un’aliquota di tassazione sugli utili molto contenuta, pari al 12,5%.
Non è un caso che l’Irlanda si sia fermamente opposta alla misura che vedrà tutti i paesi europei imporre una flat tax del 15% alle multinazionali americane, come sancito nel 2021 da parte della Commissione europea.
