l'analisi

Facebook lascia l’Europa? No, ma il nodo privacy colpisce tutta l’industria tech

Meta, holding societaria che controlla società come Instagram e Facebook, ha minacciato di lasciare l’Europa. Anche se poi ha minimizzato, il problema sottostante è serio e colpisce tutta l’industria tech che si ciba di dati europei

07 Feb 2022
Anna Cataleta

Avvocato, Senior Partner P4I

Alessandro Longo

Direttore agendadigitale.eu

Meta, holding societaria che controlla società come Instagram e Facebook, ha dichiarato giovedì nella sua relazione annuale alla SEC, l’autorità di Vigilanza sulla mercato azionario statunitense, che “probabilmente non saremo più in grado di offrire alcuni dei nostri prodotti e servizi più importanti, compresi Facebook e Instagram, in Europa”.

Poi Meta ha precisato che per ora non lascia l’Europa, mossa che sarebbe insomma un’ultima spiaggia se non si trova un accordo tra Usa ed Europa sulle norme privacy. Questo è il punto e non può essere minimizzato. Oltre a non riguardare solo Meta.

Il tema del Privacy Shield

Il riferimento è chiarissimo all’accordo tra USA e Unione Europea che dovrebbe sostituire il Privacy Shield su cui si fondava la decisione di adeguatezza che nel luglio 2020 è stata invalidata dalla Corte di Giustizia con l’ormai famosa sentenza Shrems II.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

Il crollo di Facebook anticipa il “declino” delle Big Tech? Tutti i motivi per crederlo

La sentenza ha portato a galla un nodo difficile da risolvere da parte dei privati. Il fulcro della sentenza è costituito infatti dal potere di accesso delle agenzie investigative statunitensi ai dati personali degli interessati al di fuori delle garanzie che i trattati europei garantiscono ai propri cittadini. Nessuna misura tecnica o organizzativa è in grado di sopperire a una previsione legislativa cogente. Infatti, in un primo momento le big tech hanno convenuto di mantenere i dati nei server in Europa, principalmente in Irlanda, ma successivamente è emerso che alcuni dati venivano ugualmente trasferiti negli Stati Uniti e che in ogni caso la domanda delle agenzie federali rivolta alle holding statunitensi era cogente anche nei confronti delle società locali, ovunque esse fossero nel mondo. Le società, quindi, erano divise tra la violazione delle normative europee in materia di protezione dei dati personali e l’inottemperanza alle normative federali in materia di contrasto al terrorismo internazionale.

Big tech sotto pressione privacy

Il tema privacy si pone soprattutto per Meta e non riguarda solo l’Europa né solo i regolatori, dato che parte del suo recente tracollo di profitti è dovuto – afferma Mark Zuckerberg – alle nuove mosse privacy di Apple. Ma è anche un tema che investe tutta l’industria.

I regolatori in diversi paesi dell’UE hanno detto nelle ultime settimane che stanno esaminando i servizi di Google Analytics di Alphabet Inc. e si aspettano di pubblicare i risultati nei prossimi mesi. Gli annunci arrivano dopo che il regolatore della privacy austriaco ha detto che un sito web austriaco ha violato il regolamento generale sulla protezione dei dati del blocco utilizzando Google Analytics per monitorare come le persone usano i siti web. Google potrebbe essere costretto a fornire alle autorità di intelligence degli Stati Uniti i dati degli europei perché è soggetto al Foreign Intelligence Surveillance Act, ha detto l’autorità austriaca.

Google Analytics non rispetta il GDPR, per l’Austria: l’Europa affila le armi privacy

Google ha detto in un post sul blog dopo la decisione austriaca che il governo degli Stati Uniti non ha mai chiesto il tipo di dati di cui il regolatore è preoccupato. Ma i regolatori europei si preoccupano che una tale richiesta sia possibile, ha detto Caitlin Fennessy, chief knowledge officer presso l’Associazione internazionale dei professionisti della privacy, un gruppo commerciale con sede a Portsmouth, N.H.

Un parere legale commissionato dal gruppo ombrello dei regolatori regionali di protezione dei dati tedeschi ha suggerito che un’ampia fascia di aziende americane sono soggette alla legge FISA. Mentre la legge specifica i fornitori di servizi di comunicazione elettronica, potrebbe anche influenzare le aziende che fanno affari con quelle aziende, hanno detto i regolatori nel parere.

Anche Google Fonts può violare il GDPR: un caso emblematico per possibili richieste di danni

“Ci saranno circostanze in cui banche, compagnie aeree, hotel e compagnie di navigazione potrebbero essere tutte coperte” dalla legge, secondo l’opinione, che il gruppo di regolatori ha pubblicato sul suo sito web la scorsa settimana. Molti diversi tipi di aziende americane che immagazzinano dati nei paesi dell’UE sono soggetti alle regole FISA, ha osservato l’opinione.

I regolatori hanno detto nelle linee guida pubblicate l’anno scorso che le aziende potrebbero potenzialmente utilizzare le aziende tecnologiche americane se criptano i dati e garantiscono che il fornitore di servizi non può accedervi. Ma non tutte le aziende possono farlo se richiedono l’analisi dei dati o altri servizi.

Per elaborare i dati in qualsiasi modo, un partner commerciale americano avrebbe bisogno di accedervi in forma non criptata, ha detto. Inoltre, le aziende non possono criptare i metadati, che possono includere informazioni personali.

NOYB, un’organizzazione senza scopo di lucro con sede a Vienna, ha presentato il reclamo contro Google Analytics e 100 reclami simili alle autorità di regolamentazione di tutta Europa sui siti web che utilizzano Google Analytics e i servizi Facebook Connect di Meta Platforms Inc. Romain Robert, direttore del programma NOYB, ha detto che il numero di casi contro i trasferimenti di dati transatlantici delle grandi aziende tecnologiche probabilmente si espanderà ad altri servizi e fornitori di tecnologia. “Questa sentenza sarà valida per tutti gli altri fornitori”, ha detto.

In conclusione

Finché le due sponde dell’Atlantico non trovano un accordo per rendere possibile lo scambio di dati, l’alternativa è interrompere il trasferimento e, come ha osservato Meta, questo potrebbe ripercuotersi sui servizi offerti agli europei. Qui comprese le aziende e tutto l’ecosistema economico che si appoggia ai social. E – allargando – ad aziende che si nutrono dei nostri dati per dare servizi e supporto al business, a partire da Google.

È difficile immaginare che Meta possa chiudere servizi popolari come Facebook e Instagram, anche in considerazione del valore economico del mercato europeo che, secondo le ultime stime della Commissione Europea, ammonta a circa 829 miliardi di euro, ma se il costo della compliance o i rischi legali dovessero superare i benefici attesi, alcune funzionalità potrebbero essere dismesse. Ciò anche alla luce dei nuovi obblighi che potrebbero entrare in vigore con il Digital Service Act. Infatti, il nuovo Regolamento che è in corso di approvazione, prevede una serie di obblighi di trasparenza a carico delle piattaforme nei confronti degli utenti e degli operatori economici che acquistano inserzioni e promuovono la propria attività attraverso la piattaforma di social network.

Il trasferimento di dati al di fuori dell’Unione Europea è solo uno dei numerosi temi sul tavolo delle trattative che sono in corso tra l’Europa e gli Stati Uniti e su cui Meta potrebbe avere interesse a far sentire la propria voce come, del resto, stanno facendo anche altri stakeholder. Si veda, ad esempio l’associazione NOYB fondata proprio da Maximilien Schrems, che sta presentando reclami alle Autorità di controllo europee proprio sul tema dei trasferimenti di dati all’estero e recentemente ha incassato la vittoria sui Google Analytics da parte dell’Autorità di controllo austriaca.

In altre parole, è una partita politica che si gioca su più fronti e non è ancora detta l’ultima parola.

Aggiornamento: La posizione di Meta

Meta in una nota ad Agendadigitale.eu ribadisce che

“Non abbiamo assolutamente alcun desiderio e alcun piano di ritirarci dall’Europa, semplicemente Meta, come molte altre aziende, organizzazioni e servizi, si basa sul trasferimento di dati tra l’UE e gli Stati Uniti per poter offrire servizi globali. Come altre aziende, per fornire un servizio globale, seguiamo le regole europee e ci basiamo sulle Clausole Contrattuali Tipo (Standard Contractual Clauses) e su adeguate misure di protezione dei dati. Le aziende, fondamentalmente, hanno bisogno di regole chiare e globali per proteggere a lungo termine i flussi di dati tra Stati Uniti ed UE, e come più di 70 altre aziende in una vasta gamma di settori, mano mano che la situazione si evolve, stiamo monitorando da vicino il potenziale impatto sulle nostre operazioni europee” .

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4