Come riportato dallo IAPP, due documenti di Meta disponibili pubblicamente suggeriscono che l'autorità irlandese per la protezione dei dati (DPC) potrebbe presto sospendere i trasferimenti di dati tra l'UE e gli Stati Uniti per la piattaforma Facebook e imporre una multa a Meta. Come riportato dall'Irish Times, la decisione potrebbe arrivare già il 12 maggio.
A seconda di come si svolgeranno le cose, ciò potrebbe comportare un blackout temporaneo di Facebook in Europa. Questo caso di alto profilo costituirà sicuramente un precedente e potrebbe avere un impatto sulla vita digitale di milioni di persone.
- Cosa dicono i documenti?
- La storia finora
- Le questioni legali
- Cosa succederà ora?
- Cosa significa la decisione per i trasferimenti di dati?
- Riflessioni finali
Immergiamoci!
Cosa dicono i documenti?
I due documenti (una relazione sugli utili e un modulo presentato alla Security and Exchange Commission statunitense) sono lunghi e trattano molte questioni diverse, quindi ecco le parti più interessanti.
A pagina 3 del rapporto trimestrale sugli utili di Meta si legge:
Ci aspettiamo che la Commissione irlandese per la protezione dei dati (IDPC) emetta una decisione a maggio (...), che includa un ordine di sospensione (...) e una multa. Le nostre consultazioni in corso con i responsabili politici su entrambe le sponde dell'Atlantico continuano a indicare che il nuovo quadro proposto per la privacy dei dati UE-USA sarà pienamente attuato prima della scadenza per la sospensione di tali trasferimenti, ma non possiamo escludere la possibilità che non sia completato in tempo.
Il modulo Q-10 contiene maggiori dettagli a pagina 54:
Una volta emessa la decisione finale, avremo la possibilità di fare ricorso e di chiedere una sospensione. L'ordine di sospensione del trasferimento diventerebbe effettivo dopo un certo periodo di tempo, a meno che non venga finalizzato un nuovo quadro di riferimento per il trasferimento transatlantico di dati prima di quel momento o che l'IDPC riveda l'ordine di sospensione a causa di una modifica sostanziale della legge statunitense.
Riteniamo che i documenti siano affidabili. Non è insolito che le parti di una procedura abbiano informazioni privilegiate sull'esito prima della pubblicazione della decisione. Questo è particolarmente vero per un gigante della tecnologia con molte conoscenze e capacità di lobbying.
La storia finora
La storia è ormai lunga, quindi prendete un panino (o saltate a piè pari, non ve ne faremo una colpa).
Tutto è iniziato nel 2013, quando il whistleblower dell'NSA Edward Snowden ha divulgato file riservati sulle operazioni dell'agenzia, tra cui i programmi di sorveglianza elettronica su larga scala Upstream e Prism.
Le rivelazioni di Snowden hanno spinto Max Schrems (sì, quello delle sentenze Schrems I e II) a presentare un reclamo all'autorità austriaca per la protezione dei dati contro i trasferimenti di dati di Facebook negli Stati Uniti. Egli sosteneva che, a causa della massiccia scala e del carattere indiscriminato della sorveglianza elettronica da parte del governo statunitense, i trasferimenti di dati a Facebook negli Stati Uniti non potevano garantire la riservatezza dei dati personali.
L'autorità austriaca ha inoltrato il reclamo alla sua controparte irlandese, poiché Facebook ha la sua principale filiale europea in Irlanda. Questo fu l'inizio di un'interminabile battaglia legale in cui Facebook cercò in tutti i modi di rimandare una decisione finale. Per un decennio, il caso ha fatto la spola tra il DPC, i tribunali irlandesi e la Corte di giustizia dell'UE.
Le decisioni della Corte di giustizia hanno avuto un impatto molto importante sulla legge europea sulla privacy. Nel 2015 la sentenza Schrems I ha invalidato l'accordo Safe Harbor, che semplificava notevolmente i trasferimenti di dati tra UE e USA. Un nuovo accordo, noto come Privacy Shield, ha sostituito il Safe Harbor, ma è stato nuovamente invalidato dalla Corte nella sentenza Schrems II del 2020.
Un decennio e due sentenze storiche più tardi, il DPC ha finalmente redatto una decisione per sospendere i trasferimenti di dati e l'ha presentata al Comitato europeo per la protezione dei dati (l'istituzione dell'UE in cui siedono tutte le autorità per la protezione dei dati). L'EDPB ha risolto la questione il mese scorso con una decisione non ancora pubblicata. La decisione dell'EDPB è vincolante per il DPC, ma quest'ultimo ha ancora un certo margine di autonomia, compresa la quantificazione delle ammende.
Le questioni legali
Non abbiamo ancora una decisione, ma alla luce della sentenza Schrems II e delle recenti decisioni contro Google Analytics, è facile intuire quali siano le questioni legali in gioco.
Quando un utente europeo naviga su Facebook, i suoi dati vengono elaborati da diverse entità collegate a Meta. Le più importanti sono Meta Platforms e la sua principale filiale europea, Meta Platforms Ireland. Poiché Meta Platforms stessa esegue la maggior parte del trattamento dei dati, Facebook richiede un trasferimento dei dati negli Stati Uniti per poter funzionare.
I trasferimenti di dati verso gli Stati Uniti sono stati problematici sin dalla sentenza Schrems II. Le aziende che trasferiscono dati negli Stati Uniti (e in altri Paesi "non sicuri") devono implementare misure sufficienti per mantenere i dati personali al sicuro dalla sorveglianza dello Stato. Queste misure devono essere implementate in aggiunta ai meccanismi di trasferimento dei dati, come le clausole contrattuali standard o le norme aziendali vincolanti, che sono un requisito standard per la maggior parte dei Paesi non appartenenti all'UE.
Meta si affida a clausole contrattuali standard per il trasferimento dei dati, ma non è chiaro se l'azienda abbia implementato garanzie supplementari sufficienti per mantenere la riservatezza dei dati personali. In caso contrario, i trasferimenti di dati da Meta Ireland alla società madre violano il GDPR.
E con ogni probabilità non lo ha fatto. Questo è esattamente lo stesso problema che Google sta affrontando in una serie coordinata di reclami presentati da noyb (una ONG fondata dallo stesso Schrems) e il motivo per cui cinque autorità europee per la protezione dei dati hanno praticamente bandito Google Analytics dai rispettivi Paesi. Non esiste una soluzione semplice, nemmeno per un'azienda grande come Google.
Per essere chiari, esistono misure tecniche che possono rendere più sicuri i trasferimenti di dati, ma sono pratiche solo per alcuni tipi di servizi (ne abbiamo parlato qui). In effetti, sono passati tre anni dalle denunce di noyb e Google non ha ancora trovato una soluzione. La nostra ipotesi è che nemmeno Meta l'abbia trovata. Se l'azienda avesse avuto qualche carta nella manica, l'avrebbe già giocata invece di rischiare un blackout di Facebook.
Cosa succederà ora?
La decisione non segnerà la fine di Facebook in Europa, ma potrebbe causare un blackout temporaneo del servizio nell'UE e nel SEE, a seconda di due fattori.
Il primo fattore è il tempo. L'UE e gli Stati Uniti hanno raggiunto un accordo sul Trans Atlantic Data Privacy Framework, un altro quadro per il trasferimento dei dati che sostituirà il Privacy Shield. Questo quadro sarà recepito nel quadro giuridico dell'UE quando la Commissione europea adotterà una decisione di adeguatezza, un atto che in sostanza "autorizza" un paese extra-UE come destinazione sicura e consente trasferimenti di dati senza problemi.
(Una nota a margine: il nuovo quadro normativo sarà sicuramente oggetto di sfide legali da parte di noyb. Siamo di fronte a una sentenza Schrems III ed è difficile prevedere come andrà a finire. Ma questo non è ancora un problema urgente per Meta).
Una decisione di adeguatezza è già stata redatta ed è attualmente in attesa dell'approvazione degli Stati membri. È probabile che passi, ma non è chiaro quando accadrà.
Secondo i documenti, Meta si aspetta che l'ordine di sospensione del DPC abbia una scadenza. Pertanto, la continuità del servizio per Facebook dipende dalla tempistica della decisione di adeguatezza. Se la decisione di adeguatezza viene adottata prima della scadenza, Meta potrà fare affidamento sulla decisione per il trasferimento dei dati e continuerà a fornire il servizio. Se invece la decisione arriverà troppo tardi, Meta potrebbe essere costretta a sospendere il servizio nel frattempo. Meta è piuttosto ottimista sul fatto che la decisione arriverà in tempo, ma non ne è del tutto certa.
Il secondo fattore in gioco è l'esito delle future azioni legali di Meta. Meta intende impugnare la decisione e chiedere una sospensione dell'ordine di sospensione, presumibilmente fino al voto sulla decisione di adeguatezza in seno alla Commissione europea. Una sospensione potrebbe dare a Meta il tempo di continuare a fornire Facebook agli utenti europei fino a quando i trasferimenti di dati non saranno ripresi in base alla decisione di adeguatezza.
Cosa significa la decisione per i trasferimenti di dati?
Naturalmente, questo caso ha implicazioni che vanno ben oltre Facebook. Molti fornitori di servizi statunitensi stanno camminando sul filo del rasoio con i loro trasferimenti di dati. Dato il coinvolgimento dell'EDPB, questo caso potrebbe costituire un precedente molto importante, soprattutto se il nuovo quadro normativo sul trasferimento dei dati non dovesse sopravvivere a Schrems III.
In particolare, molte società statunitensi, tra cui giganti della tecnologia come Google e Apple, hanno filiali europee in Irlanda. Da questo punto di vista, un precedente irlandese potrebbe essere particolarmente dirompente per i trasferimenti di dati tra UE e USA.
D'altra parte, il DPC ha la reputazione di non essere molto proattivo. Dopo tutto, ci sono voluti dieci anni, due sentenze della Corte di giustizia e il coinvolgimento diretto dell'EDPB perché il caso giungesse a una decisione. Quindi probabilmente il DPC non darà un giro di vite ai trasferimenti di dati come prima cosa domani.
Riflessioni finali
C'è voluto un po' di tempo, ma finalmente stiamo iniziando a vedere un'applicazione energica del GDPR. Cinque DPA hanno già preso posizione contro Google Analytics e Facebook sarà probabilmente il prossimo. Meta è stata recentemente multata per 390 milioni di euro dal DPC per aver indirizzato illegalmente gli utenti con pubblicità personalizzata e potrebbe finire per pagare danni elevati in una class action per le stesse ragioni.
Perché ci interessa?
La privacy non è solo leggi, regole e multe. La privacy è un diritto umano. Noi di Simple Analytics crediamo che Internet debba essere un luogo accogliente per i visitatori dei siti web e che rispetti la privacy. Per questo motivo abbiamo creato un'alternativa a Google Analytics che non utilizza cookie o dati personali. Se questo aspetto vi convince, non esitate a provarci!