Il The Wall Street Journal è stato uno dei primi a pubblicare la notizia: la Authority irlandese per la data protection ha inviato a Facebook un ordine preliminare con cui si intima la sospensione dell’invio di dati di cittadini europei in USA, in seguito al noto addio al privacy shield.
Questo cosa significa? Che conseguenze ci saranno per noi cittadini?
Sono molte le domande che si stanno ponendo esperti e gente comune. Cerchiamo quindi di fornire alcune risposte.
L’importanza della mossa del Garante privacy irlandese contro Facebook
La prima domanda che si fanno in molti è: che valore ha questo ordine e che conseguenze ci saranno in caso di mancato adeguamento da parte di Facebook?
L’ordine preliminare ha un grande valore sia in termini giuridici che in termini simbolici. Per la prima volta un’Autorità Garante Europea impone ad una Big Tech di processare i dati dei cittadini europei tramite server allocati nel nostro continente. Insomma, erano in molti a ritenere che la sentenza Schrems II non avrebbe avuto conseguenze concrete, eppure così non è stato. Per capirci, nemmeno i Garanti di alcuni stati europei sembravano voler dare molto risalto alla vicenda; il Garante italiano, ad esempio, oltre a tradurre le FAQ dell’EDPB, ha preferito non pronunciarsi su questa decisione, nonostante la sua evidente rilevanza per le aziende e per le scuole. Si pensava che, come successo anche in passato, a seguito dell’annullamento del Privacy Shield, nulla sarebbe cambiato e, dopo qualche mese, sarebbe intervenuto un nuovo accordo capace di rendere nuovamente legittimo l’invio di dati in USA.
Così però non è andata. L’Irlanda ha inviato un avviso ben chiaro: o portate i dati in Europa, o sarete sottoposti alle sanzioni previste dal GDPR.
A quanto ammonterebbero le sanzioni Facebook?
Facebook Inc., che, ricordiamolo, comprende anche Instagram e Whatsapp, nel 2019 ha fatturato circa 71 miliardi di dollari americani. In tal senso, volendo applicare la sanzione del 4% prevista dal GDPR, è da ritenere che la società di Mark Zuckerberg potrebbe essere chiamata a corrispondere un importo di 2.8 miliardi di US dollar. Una cifra davvero inimmaginabile, resa possibile proprio grazie all’accresciuto potere sanzionatorio previsto nel Regolamento Generale Europeo.
Ma perché si è mosso solo il Garante Irlandese?
Questa è una domanda che in molti si sono fatti e che trova risposta in parte nel GDPR ed in parte nelle vicende che hanno condotto alla Sentenza Schrems II. L’intero processo che ha portato all’annullamento del Privacy Shield nasce difatti da una denuncia del sig. Maximillian Schrems, cittadino austriaco residente in Austria, il quale ha evidenziato come i sui dati venissero trasferiti da Facebook Ireland verso server appartenenti a Facebook Inc., situati nel territorio degli Stati Uniti ove, a suo dire, gli stessi non avrebbero goduto di un adeguato livello di garanzia per la protezione degli stessi.
E’ quindi Facebook Irlanda il Titolare inizialmente chiamato a rispondere del trattamento dei dati del sig. Schrems, ed è quindi questo il motivo per cui, proprio l’Irlanda si è per prima mossa nei confronti del gigante dei social network. Avrebbe potuto agire anche un altro Garante? Si, perché di fatto, con l’annullamento del Privacy Shield sono tutti i cittadini europei a subire un danno anche se, per motivi di coordinamento tra le autorità, è da ritenere condivisibile la scelta del Garante Irlandese volta a fare il primo passo contro Facebook.
Facebook come si difenderà?
Secondo quanto riporta il New York Times, Facebook ha fino al termine di questo mese per fornire una risposta al Garante Irlandese. Già oggi è però rinvenibile una pagina sul sito di Facebook in cui la società cerca di spiegare ai clienti l’avvenuto, tentando altresì di delineare quella che potrebbe essere la sua difesa.
In primo luogo, Facebook riconosce l’importanza della protezione dei dati dei propri utenti ed afferma che le imprese hanno bisogno di regole chiare e globali, sostenute da un forte Stato di diritto, per proteggere i flussi di dati transatlantici a lungo termine.
Tuttavia, la società di Mark Zuckerberg dimostra un approccio approssimativo nell’affermare che “Facebook accoglie con favore gli sforzi già in corso tra i legislatori dell’UE e degli Stati Uniti per valutare la possibilità di un nuovo accordo UE-USA “migliorato”: un Privacy Shield Plus […]Riconosciamo che costruire un quadro sostenibile che supporti flussi di dati senza attriti verso altri paesi e sistemi legali, garantendo al tempo stesso il rispetto dei diritti fondamentali degli utenti dell’UE, non è un compito facile e richiederà tempo. Mentre i responsabili politici stanno lavorando per una soluzione sostenibile a lungo termine, esortiamo le autorità di regolamentazione ad adottare un approccio proporzionato e pragmatico per ridurre al minimo le interruzioni per le molte migliaia di aziende che, come Facebook, si sono affidate a questi meccanismi in buona fede per trasferire i dati in un modo sicuro e protetto”.
Insomma, senza mezzi termini, la posizione di Facebook è quella di chi semplicemente attende l’arrivo di un nuovo Privacy Shield e nel mentre prega il Garante di essere clemente.
Chi però ha letto la sentenza ha ben chiaro che fino a quando persisteranno poteri di controllo da parte degli USA, difficilmente la UE potrà prendere in considerazione nuovi accordi, non risultando di facile e breve soluzione la contrattazione tra UE ed USA del nuovo Privacy Shield. Evidentemente questa “sfumatura giuridica” è sfuggita a Facebook che, difatti arriva ad affermare “Questi sforzi dovranno riconoscere che gli Stati membri dell’UE e gli USA sono entrambe democrazie che condividono valori comuni e stato di diritto, sono profondamente interconnesse culturalmente, socialmente e commercialmente e hanno poteri e pratiche di sorveglianza dei dati molto simili”. Quest’ultima dichiarazione, in particolare, in merito alla somiglianza dei sistemi giuridici UE ed USA è ciò che più di lontano dalla realtà possa esistere. Gli USA, difatti, come noto non hanno una vera e propria normativa privacy, mentre l’UE ha il GDPR. Non solo, il problema da cui nasce la sentenza Schrems è proprio rinvenibile nel potere di controllo delle autorità Usa nei confronti dei database delle corporation americane, potere questo assolutamente non previsto in Europa.
Insomma, se queste sono le sue difese, Facebook, farebbe meglio ad accantonare quasi tre miliardi di dollari perché difficilmente il Garante Irlandese potrà accettare una risposta che, in sintesi, riduca il tutto ad un mero problema burocratico.
Quali sono gli scenari probabili?
In primo luogo, come accennato, se le difese di Facebook si limiteranno a chiedere qualche mese per aspettare un nuovo Privacy Shield è verosimile che il Garante Irlandese emetta una sanzione nei confronti del social network per antonomasia. Allo stesso modo è probabile che da questa decisione scaturisca un contenzioso che, probabilmente, porterà ad un accordo tra le parti.
Parallelamente, la decisione del Garante Irlandese costituirà un precedente ed è probabile che in molti emuleranno Schrems al fine di ottenere lo spostamento dei server in UE. A quel punto Facebook, come tutte le altre Big Tech, dovrà decidere: spostare (anche solo temporaneamente) tutti i server in UE oppure subire il rischio di sanzioni e richieste di danni da parte dei cittadini europei?
Esiste in realtà una terza ipotesi: l’abbandono del mercato europeo. Bisogna però chiedersi: questi colossi economici, possono permettersi di perdere l’enorme percentuale di clienti cittadini dell’Unione Europea? In tutta onestà credo che nemmeno Google sia così forte da poter rinunciare ad un intero continente.
E’ quindi verosimile che un qualche passo verrà fatto dalle Big Tech in favore dell’UE. Probabilmente si tratterà di misure provvisorie, in attesa di un nuovo Privacy Shield (che verosimilmente arriverà, se vogliamo evitare ritorsioni dagli USA) ma, fino all’individuazione di un nuovo accordo, è difficile credere che Facebook, Amazon e simili rimangano esposti.