Meta ha ricevuto, nuovamente, una maximulta da 1.2 miliardi di euro per violazione del GDPR, ancora una volta riguardo il trasferimento dei dati personali verso gli USA.
Approfondiamo di seguito il caso.
Approfondiamo di seguito il caso.
MULTA PER META: PER QUALE VIOLAZIONE
L’articolo in questione è il 46 del GDPR riguardo il Trasferimento soggetto a garanzie adeguate.
Nello specifico l’articolo enuncia che “…il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi”.
Meta in questo caso ha trasferito dati personali dei cittadini europei negli USA in maniera non conforme al Regolamento e, soprattutto, senza adoperare le dovute precauzioni e misure di sicurezza contro il rischio cybersorveglianza.
Per tal ragione il Garante Privacy irlandese è intervenuto.
Meta è stata sanzionata infatti per aver trasferito a partire da luglio 2020 all’estero, in particolare negli Stati Uniti, dati personali dei cittadini europei attenendosi alle sole clausole contrattuali standard (SCCs) e senza poter garantire livelli di sicurezza e protezione pienamente conformi alle previsioni del Regolamento generale europeo.
Ciò ha comportato quindi l’esposizione di dati e informazioni personali degli europei al rischio di essere utilizzati da altri stati, enti e organizzazioni terzi per possibili scopi di sorveglianza digitale, come anche in altre occasioni hanno fatto notare altri garanti europei, in aperta violazione del Capitolo 5 del GDPR.
Tale rischio appare tanto più concreto se si considera che mancano attualmente accordi tra UE e USA sul trasferimento oltreoceano dei dati.
MULTA A META: QUALE LA SANZIONE
Meta, quindi, si ritrova ancora una volta impegnata in dispute legali, questa volta con l’Irlanda.
L’autorità per la protezione dei dati irlandesi, infatti, ha deciso di comminare alla compagnia una multa di più di un miliardo di euro a causa dell’infrazione del GDPR.
La cifra precisa ammonta a 1,2 miliardi di euro, la più grande mai pagata per una violazione del GDPR.
«I trasferimenti di dati sono effettuati in circostanze che non garantiscono un livello di protezione degli interessati, sostanzialmente equivalente a quello previsto dal diritto dell’UE e, in particolare, dall’Unione Europea e, in particolare, dal GDPR letto alla luce della Carta dei Diritti Fondamentali dell’Unione Europea. Di conseguenza, nell’effettuare i Trasferimenti di Dati, Meta Ireland violando l’articolo 46(1) del GDPR».
Dunque, per l’Autorità Garante irlandese, si sono connaturati tutti gli estremi per procedere con la sanzione da 1,2 miliardi di euro.
Inoltre, è stato anche imposto a Meta di cessare il trasferimento di questi dati di cittadini Europei verso i server aziendali negli Stati Uniti entro cinque mesi e di procedere (entro sei mesi) alla cancellazione di quelli trasferiti in precedenza.
Ma l’inchiesta risale addirittura al 2020 e, tra l’altro, cosa importante è che la multa ha ricevuto il consenso di molti degli stati membri dell’Unione Europea.
Ciò perché il trasferimento dei dati sarebbe così frequente da giustificare l’esorbitante cifra della multa.
Inoltre, la cifra esorbitante dovrebbe poi, dissuadere altre aziende a compiere azioni simili.
Meta ha, naturalmente, ha fatto ricorso in tribunale.
Zuckerberg ha dichiarato di essere stato ingiustamente usato come capro espiatorio, vista la presenza di migliaia di compagnie che operano con la stessa modalità e che non hanno mai ricevuto richiami simili per violazioni del GDPR.
MULTA A META: QUALI LE CONSEGUENZE
L’EDPB ha proposto al Garante Privacy irlandese di imporre, oltre alla maximulta prevista pari a 1.2 miliardi di euro, l’obbligo per l’azienda di cessare entro sei mesi dalla notifica del provvedimento e, quindi, entro ottobre 2023 tutte le operazioni non conformi al GDPR, incluso appunto il trasferimento e l’archiviazione all’estero di dati personali dei cittadini europei.
È proprio questa la previsione senza precedenti e che più rischia di avere conseguenze negative sul business di Meta.
Sotto molti punti di vista lo stop al trasferimento oltreoceano dei dati imposto alla divisione irlandese di Meta potrebbe essere considerato una specie di forte segnale, così viene definito, che le autorità europee hanno inteso mandare alle piattaforme digitali e ai loro gestori quanto alla necessità di adeguarsi seriamente alle regole comunitarie.
Meta dal canto proprio ha già fatto sapere tramite un suo blog post scritto da Nick Clegg e Jennifer Newstead, rispettivamente presidente global affair e chief legal officer della compagnia, di voler ricorrere in appello contro le sanzioni imposte dall’authority irlandese, considerato che soprattutto lo stop al trattamento dei dati dei cittadini europei causerebbe seri danni anche «ai milioni di persone e di aziende che usano Facebook ogni giorno».
D’altra parte, c’è da aggiungere che già in passato l’azienda aveva minacciato più volte di non rendere più disponibili in Europa i propri servizi di punta, come Facebook e Instagram soprattutto, se non avesse potuto trattare i dati degli iscritti locali.
A risolvere la questione in maniera più pacifica e in un certo senso conveniente sia per Meta, e le altre compagnie che profittano sui dati dei cittadini europei, sia per gli ultimi e i regolatori, potrebbe intervenire solo il Data Privacy Framework, ovvero il nuovo accordo UE – USA sul trasferimento dei dati personali che va a sostituire i vecchi Privacy Shield e che è già in lavorazione da tempo.
E se per la tua attività hai necessità di conformarti a quanto prescritto dal GDPR per ed evitare possibili sanzioni, contattaci subito.
Scrivici all’indirizzo di posta elettronica info@abinnovationconsulting.com, oppure compila il modulo seguente.