Ce lo aspettavamo ed è successo: A Meta è stato ordinato di interrompere il trasferimento di dati negli Stati Uniti per Facebook. L'azienda è stata inoltre multata per 1,2 miliardi di euro (sì, avete letto bene) per aver violato le norme sul trasferimento dei dati del GDPR.
La Commissione irlandese per la protezione dei dati (DPC) ha annunciato la decisione oggi in un comunicato stampa sul suo sito web. Il testo completo è disponibile sul sito del Comitato europeo per la protezione dei dati, insieme alla decisione del Comitato stesso che ha portato alla multa. Non sorprende che Meta abbia annunciato di voler impugnare la decisione.
Questo caso è davvero importante. La decisione avrà probabilmente un forte impatto sui casi di trasferimento di dati a livello europeo e potrebbe portare a un blackout di Facebook in Europa nel prossimo futuro. In altre parole, vale la pena di approfondire la questione.
Immergiamoci!
La storia
L'indagine del DPC su Facebook è iniziata tre anni fa e trae origine da un reclamo del 2013 di Max Schrems (sì, quello delle decisioni Schrems I e II). Questa decisione ha una storia decennale, quindi preparate il pranzo (o andate avanti, non ve ne faremo una colpa).
Tutto è iniziato quando il whistleblower dell'NSA Edward Snowden ha divulgato file riservati sulle operazioni dell'agenzia, tra cui i programmi di sorveglianza elettronica su larga scala Upstream e Prism.
Le rivelazioni di Snowden hanno spinto Schrems a presentare un reclamo all'autorità austriaca per la protezione dei dati contro i trasferimenti di dati di Facebook negli Stati Uniti. Schrems ha affermato che i dati personali trasferiti a Facebook negli Stati Uniti non erano sicuri a causa della massiccia scala e della natura indiscriminata della sorveglianza elettronica sui dati stranieri da parte del governo statunitense.
L'autorità austriaca ha inoltrato la denuncia all'Irlanda, dove Facebook (ora Meta) ha la sua principale filiale europea. Questo fu l'inizio di un'interminabile battaglia legale in cui Facebook cercò di rimandare in tutti i modi una decisione finale. Per anni il caso ha fatto la spola tra il DPC, i tribunali amministrativi irlandesi e la Corte di giustizia dell'UE.
La Corte di giustizia ha adottato due sentenze relative alla denuncia di Schrems, ed entrambe hanno avuto un impatto molto importante sulla normativa europea in materia di privacy. Nel 2015 la sentenza Schrems I ha invalidato l'accordo Safe Harbor, che semplificava notevolmente i trasferimenti di dati tra UE e USA. Un nuovo accordo, noto come Privacy Shield, ha poi sostituito il Safe Harbor, ma la Corte lo ha nuovamente invalidato nella sentenza Schrems II del 2020.
La sentenza Schrems II non significa che i dati personali non possano essere inviati negli Stati Uniti. Tuttavia, rende più complicato il trasferimento legale dei dati. La storia è lunga e ne abbiamo già parlato in dettaglio. In breve, i trasferimenti di dati negli Stati Uniti richiedono garanzie aggiuntive rispetto ad altri Paesi per proteggere i dati personali dal rischio di accesso governativo.
Purtroppo, queste garanzie sono difficili da implementare e del tutto impossibili per alcuni servizi, tra cui Facebook e Google Analytics. Pertanto, l'utilizzo di determinati fornitori di servizi costituisce una violazione del GDPR e le aziende che si affidano a loro camminano sul filo del rasoio con i loro trasferimenti di dati.
Dopo un decennio e due sentenze storiche, il DPC ha infine redatto una decisione per sospendere i trasferimenti di dati di Facebook e l'ha presentata al Comitato europeo per la protezione dei dati (l'istituzione dell'UE in cui siedono tutte le autorità per la protezione dei dati). L'EDPB ha risolto la questione il mese scorso e ha pubblicato oggi la sua decisione, insieme alla successiva e definitiva decisione del DPC sul caso.
Oltre a Facebook, dopo Schrems II sono successe molte altre cose. L'ONG per la privacy noyb (di cui fa parte lo stesso Schrems) ha presentato una serie strategica di reclami contro Google Analytics nel tentativo di spingere le autorità europee a un'applicazione rigorosa della sentenza Schrems II. Ciò ha portato diverse autorità a pronunciarsi contro Google Analytics, in pratica a bandirlo dai loro Stati membri.
Tra il caso di Facebook e le decisioni di Google Analytics, non sorprende che i trasferimenti di dati siano un tema caldo in questo momento.
La decisione
Il contenuto giuridico della decisione del DPC non è una novità. Le premesse della decisione provengono direttamente dalla sentenza Schrems II e sono già state chiarite da altre autorità quando si è trattato di Google Analytics:
- In primo luogo, gli Stati Uniti non sono una destinazione sicura per il trasferimento dei dati.
- In secondo luogo, le clausole contrattuali standard (una salvaguardia contrattuale ai sensi del GDPR) non sono sufficienti a proteggere i dati personali trasferiti negli Stati Uniti. I contratti con le aziende non risolvono il vero problema perché non limitano il potere del governo di effettuare la sorveglianza
- in terzo luogo, quando si trasferiscono dati negli Stati Uniti, è necessario implementare salvaguardie supplementari oltre a quelle generalmente richieste dal GDPR. Questo è l'unico modo per mantenere la riservatezza dei dati personali.
Il DPC ha rilevato che le clausole contrattuali standard in vigore per il trasferimento dei dati (comprese le clausole più recenti redatte nel 2021 dalla Commissione UE) non contengono alcuna salvaguardia efficace contro la sorveglianza statunitense. Il DPC ha inoltre ritenuto che Meta Ireland non abbia implementato garanzie supplementari efficaci per il trasferimento dei dati verso le piattaforme Meta negli Stati Uniti. Pertanto, i trasferimenti di dati sono illegali ai sensi del GDPR.
Sebbene il contenuto legale della decisione non sia affatto nuovo, l'alto profilo del caso lo rende molto importante.
Gli imputati nei casi di Google Analytics erano aziende che utilizzavano il servizio sul proprio sito web. Erano tutti pesci piccoli rispetto a Meta: un'enorme multinazionale con vaste risorse, molta influenza politica e un'attività di compliance di milioni di euro. Persino il governo degli Stati Uniti è stato coinvolto nella causa e ha presentato documenti a sostegno delle argomentazioni di Meta.
Eppure Meta ha perso. Erano in gioco miliardi di ricavi, eppure l'azienda non è riuscita a garantire il trasferimento dei dati negli Stati Uniti nonostante le sue enormi risorse e il suo know-how. Questo dimostra senza ombra di dubbio che alcuni trasferimenti di dati non possono essere conformi al GDPR in nessun caso.
Anche il coinvolgimento dell'EDPB è molto importante in questo caso. Come abbiamo detto, c'è stato un po' di tira e molla tra il DPC e l'EDPB, proprio come nel caso della pubblicità mirata di Meta (ne abbiamo scritto qui).
È importante notare che nessuna autorità europea si è opposta all'interruzione dei trasferimenti di dati di Meta. C'è stato qualche disaccordo sulla multa (che il DPC non ha voluto comminare) e su altri aspetti della decisione, motivo per cui è intervenuto l'EDPB. Tuttavia, tutti erano d'accordo sul punto cruciale: i trasferimenti di dati di Meta sono illegali.
L'EDPB ha quindi trovato una posizione comune sui trasferimenti di dati. Ciò significa che tutte le autorità europee preposte alla tutela della privacy lo hanno fatto, perché sono le persone che siedono nell'EDPB.
Questo era già chiaro in precedenza: come abbiamo spiegato, l'EDPB ha svolto un ruolo indiretto nelle decisioni su Google Analytics, coordinando la risposta a livello europeo. Ma con Meta l'EDPB è intervenuto direttamente, spingendo addirittura per una multa a dieci cifre. Il messaggio non è mai stato così chiaro: la ricreazione è finita. È ora di prendere sul serio il GDPR.
Anche la multa in sé è un aspetto interessante della decisione. Non solo perché è enorme, ma anche per il modo in cui è stata calcolata. Non si è basata sul fatturato annuale globale di Meta Platforms Ireland, ma piuttosto su quello dell'intero gruppo Meta. Quindi la multa contro Meta Platforms Ireland è stata commisurata alle enormi quantità di denaro realizzate dall'intero gruppo di società facenti capo a Meta, ed è per questo che l'importo è così elevato!
Se in futuro le autorità di regolamentazione si atterranno a questo approccio, le multinazionali non potranno limitare il rischio di conformità invocando le dimensioni relativamente ridotte delle loro filiali europee.
Vale anche la pena notare che le multe previste dal GDPR sono limitate a "solo" il 4% del fatturato annuo globale di un'azienda. D'altro canto, il nuovo Digital Services Act e il Digital Markets Act dell'UE prevedono multe rispettivamente del 6% e del 10%. Se le autorità di regolamentazione seguiranno lo stesso approccio, in futuro potremmo assistere a multe molto salate.
(Aggiornamento: le nuove linee guida dell'EDPB sul calcolo delle ammende confermano questo approccio per le violazioni del GDPR).
Cosa succederà ora?
Meta ha ora sei mesi di tempo per interrompere i trasferimenti di dati e cancellare i dati personali già trasferiti negli Stati Uniti (la tempistica è in realtà leggermente più complicata, ma il succo è questo).
Come abbiamo spiegato poco tempo fa, questo non significa che Facebook chiuderà domani. La possibilità di un blackout di Facebook in Europa è reale, ma dipende da alcuni fattori.
L'UE e gli Stati Uniti hanno intrapreso iniziative per la creazione di un nuovo quadro per il trasferimento dei dati (chiamato Trans-Atlantic Data Privacy Framework) tra l'UE e gli Stati Uniti. Sulla base di questo quadro, la Commissione europea ha successivamente elaborato una decisione di adeguatezza per gli Stati Uniti, ossia una decisione che autorizza un Paese a essere una destinazione sicura per i dati e che rende i trasferimenti di dati molto più semplici. La bozza è in attesa di approvazione da parte degli Stati membri e probabilmente passerà (nonostante il parere nettamente negativo del Parlamento europeo).
Se approvata prima della scadenza imposta dal DPC, la decisione di adeguatezza salverà Meta dalla campana. Ma la situazione sembra complicata.
Il nuovo quadro normativo sul trasferimento dei dati si basa su un complesso sistema di supervisione delle attività di intelligence statunitensi sui dati esteri. Questo sistema deve essere completamente implementato prima che la decisione di adeguatezza possa essere finalizzata. Ad esempio, non sono ancora stati nominati i membri della Corte di revisione della protezione dei dati e l'UE non è stata designata come "Stato qualificante" (cioè un'entità o un'organizzazione internazionale a cui si applica il sistema). È difficile dire se sei mesi saranno sufficienti agli Stati Uniti per completare l'implementazione del sistema e alla Commissione per finalizzare la decisione di adeguatezza.
Se la decisione verrà adottata più tardi, le cose si complicheranno per Meta. L'azienda intende impugnare la decisione e chiedere una sospensione dell'ordine del DPC. Questo potrebbe far guadagnare tempo all'azienda.
Il tanto temuto blackout di Facebook dipende quindi, in ultima analisi, dalla tempistica della decisione di adeguatezza e dall'esito delle future azioni legali di Meta.
Naturalmente, la posta in gioco non è solo Facebook. Innumerevoli aziende europee si affidano a fornitori di servizi con sede negli Stati Uniti e non tutti i trasferimenti di dati richiesti sono conformi al GDPR.
Ilfuturo del trasferimento di dati tra UE e USA dipende in ultima analisi dal Quadro transatlantico sulla privacy dei dati. Il quadro non è troppo roseo: la Corte di giustizia dell'UE ha già invalidato due quadri di questo tipo perché non proteggevano adeguatamente i dati europei, e anche il nuovo quadro sarà sicuramente oggetto di esame. In altre parole, Schrems III è già all'orizzonte.
È difficile dire come si svolgerà Schrems III: il nuovo quadro normativo è certamente un passo avanti rispetto al passato, ma alcune sue parti potrebbero ancora essere problematiche per la Corte di giustizia. E di certo non aiuta il fatto che il Parlamento europeo abbia votato contro la bozza con una maggioranza schiacciante. Anche se il voto del Parlamento non è vincolante, potrebbe spingere la Corte a un esame più severo del nuovo quadro normativo.
In conclusione, otto anni dopo Schrems I, il futuro dei trasferimenti di dati tra UE e USA è ancora incerto.
Conclusioni
Ci sono voluti dieci anni in più del dovuto, ma siamo felici di vedere finalmente applicata la legge sulla privacy contro Meta.
Siamo anche entusiasti di parlarvi di questo caso sul nostro blog! Speriamo che, riducendo al minimo il legalese, possiamo far appassionare il nostro pubblico alla legge sulla privacy come lo facciamo noi.
La nostra passione per la privacy è ciò che ha portato alla nascita di Simple Analytics. Pensiamo che tutti noi dovremmo rispettare la privacy e cercare di fare di più con meno dati personali. Quando si tratta di analisi web, Simple Analytics vi permette di fare proprio questo, fornendovi approfondimenti senza raccogliere alcun dato personale. La privacy è la nostra priorità, non un ripensamento.
Crediamo che Internet debba essere un luogo indipendente e accogliente per i visitatori dei siti web. Se questo concetto vi convince, non esitate a provarci!