Dopo 10 anni e 3 lunghissimi procedimenti la Commissione per la protezione dei dati irlandese (“DPC” o “Autorità Garante irlandese”) sanziona il colosso Meta con una sanzione record (ben 1,2 miliardi) per aver violato le disposizioni normative contenute nel Regolamento UE n. 2016/679 (“GDPR”).
La notizia è nota, ma per capire il significato della sanzione, storica, e le sue conseguenze bisogna andare a fondo dell’analisi.
Il provvedimento – che conta più di 200 pagine di motivazione – trova il suo fondamento nella decisione vincolante 1/2023 emanata dallo European Data Protection Board (“EDPB”) lo scorso 13 aprile e rappresenta certamente un segnale forte e senza precedenti, che ha l’obiettivo di fungere da deterrente nella lotta al trasferimento dei dati extra UE – e nello specifico negli Stati Uniti – in assenza di misure di garanzia adeguate.
Andiamo a ripercorrere insieme le motivazioni, che hanno portato il l’Autorità Garante irlandese a tale decisione.
L’esigenza di una decisione vincolante da parte dell’EDPB
Nel luglio del 2022, l’Autorità Garante irlandese ha condiviso con alcune Autorità di Controllo europee interessate il proprio progetto di decisione rispetto ad un’indagine precedentemente avviata circa le attività di trattamento dei dati realizzate da parte dei social media di Facebook (ora di “Meta”), con particolare focus rispetto ai trasferimenti dei dati al di fuori dello Spazio Economico Europeo (“SEE”),effettuati sulla base di clausole contrattuali standard (“SCC”).
A seguito della predetta condivisione, le reazioni di alcune Autorità di Controllo europee (in particolare, l’Autorità austriaca, tedesca, francese e spagnola) non si sono fatte attendere. Queste, infatti, non solo hanno sollevato una serie di obiezioni rispetto alle modalità di trasferimento dei dati attuate da Meta, ma hanno altresì richiesto l’applicazione di misure correttive più severe rispetto a quelle prospettate dall’Autorità Garante irlandese; nello specifico, oltre alla comminazione di una sanzione amministrativa pecuniaria anche l’adozione di un’ordinanza di sospensione dei trasferimenti di dati.
Recepite le già menzionate osservazioni e non trovandosi totalmente in accordo con quanto evidenziato dai colleghi europei, l’Autorità Garante irlandese – quale Autorità di Controllo Capofila, Lead Supervisory Authority o “LSA” – ha, quindi, deciso di avviare, in merito alle obiezioni sollevate, la procedura di risoluzione delle controversie ai sensi dell’art. 65, paragrafo 1, lett. a) del GDPR innanzi all’EDPB.
Il ruolo dell’EDPB
Con la procedura di cui all’art. 65, paragrafo 1, lett. a) del GDPR, lo EDPB viene chiamato a pronunciarsi – mediante l’emissione di una decisione vincolante – sulle controversie relative al trattamento di dati transfrontaliero, garantendo così un’applicazione uniforme delle disposizioni normative del GDPR nelle diverse giurisdizioni coinvolte.
Relativamente al caso Meta, lo EDPB ha ritenuto che le obiezioni sollevate dalle Autorità di Controllo europee interessate (Supervisory Authorities Concerned o “CSAs”) fossero pertinenti e motivate, dovendo così occuparsi di esaminare l’eventuale necessità di infliggere una pena pecuniaria e l’opportunità di emettere un ordine di sospensione dei trasferimenti di dati.
La sanzione a Meta
Diametralmente opposti i punti di vista di LSA e CSAs sul punto. Se da un lato la LSA ritiene che l’imposizione di una pena pecuniaria in aggiunta ad un ordine di sospensione dei trasferimenti di dati non sarebbe così “efficace, proporzionato e dissuasivo”, dall’altro lato sono di contrario avviso le CSAs.
Lo EDPB – precisando anzitutto di essere competente in merito al caso specifico, in quanto in possesso dei necessari poteri a promuovere un’applicazione coerente del GDPR in caso di disaccordo tra l’autorità locale e le altre autorità su trattamenti di dati transfrontalieri – si è quindi dedicato all’analisi di tutti i criteri previsti dall’art. 83 del GDPR per valutare l’opportunità di comminare una sanzione amministrativa pecuniaria a Meta.
Nello specifico:
- quanto a natura, gravità e durata della violazione, lo EDPB ha dovuto tenere in debita considerazione non solo la natura e finalità del trattamento, ma anche il numero degli interessati coinvolti e il livello di danno da loro subito. Al riguardo, lo EDPB ha affermato che il trattamento abbia avuto certamente una portata molto ampia, estendendosi ad una grande quantità di interessati (una notevole percentuale di cittadini europei) e di dati personali (tra cui anche categorie particolari di dati) ed essendo stato realizzato per un periodo di tempo davvero significativo;
- quanto al carattere doloso o colposo della violazione, lo EDPB è in netto contrasto con quanto evidenziato dalla LSA, a detta della quale Meta avrebbe agito in “buona fede” nell’utilizzare le SCC del 2021 e le deroghe previste all’art. 49 del GDPR per fondare il trasferimento dei dati negli Stati Uniti. Lo EDPB, infatti, evidenzia che Meta – da anni sotto esame – non potesse ignorare che i trasferimenti così realizzati fossero in netta violazione del GDPR. Ciò, anche in considerazione di quanto espressamente stabilito sul tema nella sentenza Schrems II e nelle successive Raccomandazioni dello stesso EDPB, che prescrivono un’attenta valutazione dello strumento di trasferimento sulla base del contesto normativo del paese destinatario. Alla luce, quindi, di quanto sopra indicato è evidente che Meta non possa di certo ritenersi in “buona fede”, bensì la mancata adozione di misure supplementari adeguate è una chiara conferma di totale negligenza;
- quanto al grado di responsabilità, lo EDPB ritiene che questo debba qualificarsi come elevato, condividendo le osservazioni delle CSAs. Queste ultime, infatti, nelle loro osservazioni hanno segnalato come le misure tecniche e organizzative implementate da Meta per garantire il rispetto dei principi di privacy by design e by default e di sicurezza del trattamento non potessero essere minimamente in grado di compensare le mancanze identificate nella legislazione statunitense, comportando così un rischio elevato per i diritti e le libertà degli utenti. Ciò anche in considerazione del fatto che questi ultimi fanno affidamento sulle informazioni rilasciate da Meta e si aspettano – ragionevolmente – che i loro dati siano protetti nel corso del trasferimento.
Alla luce delle predette valutazioni, lo EDPB – trovandosi in accordo con le obiezioni sollevate dalle CSAs, rispetto a quanto indicato dalla LSA – ha concluso ritendo che l’irrogazione di una sanzione amministrativa pecuniaria in aggiunta ad un provvedimento di sospensione avrebbe un importante effetto dissuasivo, necessario a scoraggiare Meta dal continuare o dal commetterne nuovamente la medesima infrazione.
Ma non solo. Servirebbe anche da monito per gli altri soggetti, che sarebbero più incentivati a garantire il rispetto della normativa europea.
Quanto, infine, alla proporzionalità della sanzione da infliggere, lo EDPB ha specificato che, stante gli enormi profitti generati da Meta, una sanzione amministrativa pecuniaria non risulterebbe di certo sproporzionata.
Adozione di un ordine di trasferimento dei dati personali
Anche su tale aspetto le posizioni della LSA e delle CSAs sono distanti; se da un lato la LSA ritiene eccessiva l’emanazione di un ordine che preveda la restituzione e/o la cancellazione dei dati trasferiti, dall’altro le CSAs ritengono “appropriato, necessario e proporzionato” tale accorgimento, così da bloccare ogni accesso sproporzionato ai dati personali degli utenti da parte delle autorità statunitensi.
A seguito delle analisi realizzate, lo EDPB ha concluso avvallando la posizione delle CSAs e ha ritenuto che l’adozione di un ordine per rendere le operazioni di trattamento conformi al capo V del GDPR, cessando il trattamento illecito, inclusa la memorizzazione, negli Stati Uniti dei dati personali degli utenti europei trasferiti in violazione del GDPR debba considerarsi adeguata, necessaria e proporzionata.
Tuttavia, comprendendo che il rispetto del predetto ordine possa comportare l’adozione di adeguamenti tecnici e organizzativi considerevoli da parte di Meta, lo EDPB ha dato incarico all’Autorità Garante irlandese di includere nella propria decisione finale la possibilità di attuare entro 6 mesi dalla data di notifica della stessa decisione quanto necessario a rendere le operazioni di trattamento conformi.
La decisione del Garante privacy irlandese su Meta: il dettaglio
La decisione dell’Autorità Garante irlandese non si è fatta attendere. Recependo quanto espressamente indicato dall’EDPB nella propria decisione vincolante, l’Autorità Garante irlandese ha ritenuto che:
- la legge statunitense non fornisca ai dati personali un livello di protezione equivalente a quello previsto dalla normativa europea;
- le SCC non possano ritenersi lo strumento adeguato a compensare l’inadeguatezza nella protezione dei dati personali fornita dalla legge statunitense;
- Meta non disponga di misure in grado di compensare l’inadeguatezza nella protezione dei dati personali;
- Meta non possa avvalersi delle deroghe previste all’art. 49 del GDPR per fondare i trasferimenti dei dati personali.
In considerazione delle già menzionate ragioni, l’Autorità Garante irlandese ha:
- richiesto la sospensione dei trasferimenti dei dati personali negli Stati Uniti, concedendo a Meta un termine di 6 mesi per rendere le predette operazioni conformi alla normativa europea;
- inflitto la sanzione amministrativa pecuniaria di 1,2 miliardi di euro;
- invitato Meta a comunicare le modalità di attuazione della sospensione, oltre alle modalità di informazione dei “propri piani” nei confronti degli utenti del proprio servizio.
La risposta di Meta e le conseguenze
La reazione di Meta al provvedimento dell’Autorità Garante irlandese è stata immediata. Nick Clegg e Jennifer Newstead (rispettivamente Presidente dei Global Affairs e Chief Legal Officer) hanno, infatti, già annunciato la determinazione del colosso americano a ricorrere contro il provvedimento, definendo la sanzione ingiustificata e non necessaria e rassicurando gli utenti sul fatto che non vi sarà alcuna interruzione immediata del social media Facebook in Europa.
In ogni caso e a prescindere dagli sviluppi futuri, non si può ignorare il fatto che, oggi, il provvedimento rappresenti un duro colpo per Meta e per tutte le aziende americane, che realizzano trasferimenti di dati personali al di fuori del SEE e, in particolare, verso gli Stati Uniti.
Questo caso, infatti, riporta nuovamente l’attenzione sui tentativi dell’UE e degli Stati Uniti di negoziare un nuovo accordo per il trasferimento dei dati, che potrebbe certamente essere la chiave di volta per districare questi aspetti.