Meta ha ricevuto una maxi multa da 1.2 miliardi di euro per violazione del GDPR

Dal Garante Privacy irlandese è arrivata una maxi multa a Meta di 1.2 miliardi di euro, la più alta mai comminata fin qui per violazione del GDPR.

Meta Platforms Ireland Limited, la divisione europea dell’azienda di Zuckerberg, è stata sanzionata infatti per aver trasferito a partire da luglio 2020 all’estero, più nello specifico negli Stati Uniti, dati personali dei cittadini europei attenendosi alle sole clausole contrattuali standard (SCCs) e senza poter garantire, cioè, livelli di sicurezza e protezione pienamente conformi alle previsioni del Regolamento generale europeo.

Così facendo ha esposto dati e informazioni personali degli europei al rischio di essere utilizzati da stati, enti e organizzazioni terzi per possibili scopi di sorveglianza digitale e warfare, come anche in altre occasioni hanno fatto notare altri garanti europei, in aperta violazione del Capitolo 5 del GDPR.

Tale rischio appare tanto più concreto se si considera che mancano attualmente accordi tra UE e USA sul trasferimento oltreoceano dei dati.

Da qui il valore simbolico che in molti hanno attribuito, da quando è arrivata, alla maxi multa a Meta di 1.2 miliardi di euro e il pressing che l’Irish Data Protection Authority pare abbia subito da parte del comitato che riunisce tutte le autorità garanti per la privacy europee prima di giungere alla decisione.

Come si è arrivati alla maxi multa a Meta di 1.2 miliardi di euro

Accertata la violazione, nei mesi scorsi la DPA irlandese aveva rimesso la questione all’European Data Protection Board.

Il 13 aprile 2023 l’EDPB si è espresso obbligando l’authority irlandese a multare Meta e consigliando di applicare una sanzione che non fosse inferiore in valore a un quinto della cifra massima comminabile.

L’infrazione commessa da Meta, ha commentato il direttore del Comitato, Andrea Jelinek, appare tanto più seria infatti quanto più si tiene conto del fatto che è avvenuta in maniera «sistematica, ripetitiva e continua e che Facebook ha milioni di utenti in Europa, quindi il volume di dati personali trasferiti [negli Stati Uniti] è enorme»¹.

Entro ottobre 2023 Meta dovrà cessare il trasferimento oltreoceano di dati personali dei cittadini europei

L’EDPB ha suggerito al Garante Privacy irlandese di imporre, oltre alla maxi multa a Meta di 1.2 miliardi di euro, anche l’obbligo per l’azienda di cessare entro sei mesi dalla notifica del provvedimento – e, quindi, entro ottobre 2023 – tutte le operazioni non conformi al GDPR, incluso appunto il trasferimento e l’archiviazione all’estero di dati personali dei cittadini europei.

È questa la previsione davvero «senza precedenti» e che più rischia di avere conseguenze negative sul business di Meta e, considerando ancora le parole di Andrea Jelinek, più in generale delle big tech che generano profitti a partire da dati e informazioni degli iscritti ai propri servizi.

Per molti versi lo stop al trasferimento oltreoceano dei dati imposto alla divisione irlandese di Meta potrebbe essere considerato, così, una sorta di «segnale forte» che le autorità europee hanno inteso mandare alle piattaforme digitali e ai loro gestori quanto alla necessità di adeguarsi seriamente alle regole comunitarie.

Meta dal canto proprio ha già fatto sapere tramite un blog post scritto da Nick Clegg e Jennifer Newstead, rispettivamente presidente global affair e chief legal officer della compagnia, di voler ricorrere in appello contro le sanzioni imposte dall’authority irlandese, considerato che soprattutto lo stop al trattamento dei dati dei cittadini europei causerebbe seri danni anche «ai milioni di persone e di aziende che usano Facebook ogni giorno»².

Del resto, già in passato l’azienda aveva minacciato più volte di non rendere più disponibili in Europa i propri servizi di punta, come Facebook e Instagram soprattutto, se non avesse potuto trattare i dati degli iscritti locali.

Facebook e Instagram potrebbero non essere più disponibili in Europa: la minaccia di Meta

La difficoltà di trovare un accordo soddisfacente con le autorità europee desiderose di più garanzie sui dati conservati all’estero dei propri cittadini ha portato Meta a minacciare di chiudere Facebook e Instagram in Europa.

Leggi

A risolvere la questione in maniera più pacifica e doppiamente conveniente, sia per Meta e le altre compagnie che profittano sui dati dei cittadini europei e sia per gli ultimi e i regolatori, potrebbe intervenire solo il Data Privacy Framework, il nuovo accordo UE – USA sul trasferimento dei dati personali che sostituisce i vecchi Privacy Shield e che è già in lavorazione da tempo.