multa da 1,2 miliardi di euro del GDPR per Meta sulla sorveglianza di massa negli Stati Uniti. La decisione ha richiesto 10 anni e 3 procedimenti giudiziari contro il DPC irlandese.
Oggi, un caso decennale (2013 - 2023) sul coinvolgimento di Meta nella sorveglianza di massa degli Stati Uniti ha portato a una prima decisione diretta. Meta deve interrompere qualsiasi ulteriore trasferimento di dati personali europei verso gli Stati Uniti, dato che Meta è soggetta alle leggi di sorveglianza statunitensi (come la FISA 702). L'EDPB aveva ampiamente ribaltato la decisione del DPC irlandese, insistendo su una multa record e sulla necessità di riportare nell'UE i dati precedentemente trasferiti.
- Poiché diversi media hanno rotto l'embargo imposto dal DPC per le 12:00 CET, le seguenti informazioni non sono più sotto embargo
- Comunicato stampa del DPC irlandese
- Decisione dell'EDPB sul caso
Un duro colpo per Meta. Da quando Edward Snowden ha rivelato che le big tech statunitensi aiutano l'apparato di sorveglianza di massa della NSA, Facebook (ora Meta) è stata oggetto di un contenzioso in Irlanda. Per dieci anni Meta non ha preso alcuna precauzione materiale, ma ha semplicemente ignorato la Corte di giustizia europea (CJEU) e l'European Data Protection Board (EDPB). Ora Meta non solo dovrà pagare una multa record di 1,2 miliardi di euro, ma dovrà anche restituire tutti i dati personali ai suoi centri dati dell'UE.
Max Schrems:"Siamo felici di vedere questa decisione dopo dieci anni di controversie. Lamulta avrebbe potuto essere molto più alta, dato che la multa massima è di oltre 4 miliardi e Meta ha consapevolmente infranto la legge per trarne profitto per dieci anni. A meno che le leggi sulla sorveglianza degli Stati Uniti non vengano corrette, Meta dovrà ristrutturare radicalmente i suoi sistemi"
Il FISA 702 è soggetto a riautorizzazione. L'attuale conflitto tra le leggi sulla privacy dell'UE e quelle sulla sorveglianza degli Stati Uniti è un problema anche per tutti gli altri grandi fornitori di cloud statunitensi, come Microsoft, Google o Amazon. La legge di base sulla sorveglianza degli Stati Uniti (FISA 702) deve essere riautorizzata entro il dicembre 2023. L'appetito per cambiamenti sostanziali potrebbe essere maggiore per le big tech statunitensi, ora che è arrivata la prima multa importante da parte delle autorità di protezione dei dati dell'UE. Numerose decisioni di Francia, Italia e Austria hanno giudicato illegale l'uso dei servizi statunitensi, ma non hanno previsto una multa importante.
Max Schrems:"La soluzione più semplice sarebbe una ragionevole limitazione della legge sulla sorveglianza degli Stati Uniti. Su entrambe le sponde dell'Atlantico c'è un'intesa sulla necessità di una causa probabile e di un'approvazione giudiziaria della sorveglianza. Sarebbe ora di garantire queste protezioni di base ai clienti dell'UE dei fornitori di cloud statunitensi. Qualsiasi altro grande fornitore di cloud statunitense, come Amazon, Google o Microsoft, potrebbe essere colpito da una decisione simile in base alla legge dell'UE"
Violazioni passate - improbabile il successo dell'appello. Prevediamo che Meta presenterà un ricorso presso la Corte irlandese e potenzialmente presso quella europea, ma le possibilità che questa decisione venga materialmente ribaltata sono basse: La CGUE ha già deciso che non esiste una base giuridica valida per i trasferimenti di dati tra l'UE e gli USA in due casi tra il 2007 e il 2023. Inoltre, non è possibile che un nuovo accordo legalizzi precedenti violazioni della legge.
Max Schrems:"Meta si appellerà a questa decisione, ma non c'è alcuna possibilità concreta di ribaltare questa decisione. Le violazioni del passato non possono essere superate da un nuovo accordo UE-USA. Meta può al massimo ritardare un po' il pagamento della multa"
Trasferimenti futuri: Le speranze di Meta per un nuovo accordo UE-USA sono in bilico. Per tutti i trasferimenti futuri, Meta spera ora di passare a un nuovo accordo UE-USA per il trasferimento dei dati. Il nuovo accordo ha già affrontato aspre critiche da parte del Parlamento Europeoma probabilmente entrerà in vigore dopo l'estate. Queste speranze potrebbero però infrangersi presto. Non è improbabile che il nuovo accordo venga invalidato dalla CGUE, proprio come i due precedenti accordi UE-USA sui dati ("Privacy Shield" e "Safe Harbor"). Tali invalidazioni hanno effetto retroattivo.
Max Schrems:"Meta prevede di affidarsi al nuovo accordo per i trasferimenti futuri, ma probabilmente non si tratta di una soluzione permanente. A mio avviso, il nuovo accordo ha forse il dieci per cento di possibilità di non essere eliminato dalla CGUE. A meno che le leggi statunitensi in materia di sorveglianza non vengano corrette, Meta dovrà probabilmente mantenere i dati dell'UE nell'UE"
Dieci anni, tre procedimenti giudiziari e milioni di spese legali. Il ruolo del DPC irlandese in questa procedura è eccezionale, in quanto ha sempre cercato di bloccare l'iter del caso; nel 2013 ha respinto il reclamo originale come "frivolo", obbligando Schrems a rivolgersi alla CGUE. Il DPC ha poi ritenuto di non poter intervenire, dato che Meta ha fatto uso delle cosiddette "clausole contrattuali standard", ma anche in questo caso è stato respinto dalla CGUE, che ha detto al DPC di dover intervenire. Infine, il DPC ha cercato di mettere Meta al riparo da una multa e dalla cancellazione dei dati già trasferiti, per poi essere annullato dall'EDPB. Complessivamente, queste procedure hanno comportato costi per oltre 10 milioni di euro - la multa, tuttavia, andrà allo Stato irlandese.
Max Schrems: "Ci sono voluti dieci anni di controversie contro il DPC irlandese per arrivare a questo risultato. Abbiamo dovuto intentare tre procedimenti contro il DPC e rischiare milioni di costi procedurali. L'autorità di regolamentazione irlandese ha fatto di tutto per evitare questa decisione, ma è stata costantemente annullata dai tribunali e dalle istituzioni europee. È assurdo che la multa record vada all'Irlanda, lo Stato membro dell'UE che ha fatto di tutto per evitare questa multa"
Periodo di implementazione, nessuno stop immanente dei servizi. In precedenza, Facebook/Meta aveva diffuso la voce che avrebbe smesso di fornire servizi in Europa. Dato che l'Europa è di gran lunga la più grande fonte di reddito al di fuori degli Stati Uniti e Meta ha già costruito centri dati locali nell'UE, questi annunci sono difficilmente credibili. La soluzione a lungo termine sembra essere una forma di "social network federato" in cui la maggior parte dei dati personali rimarrebbe nell'UE, mentre continuerebbero solo i trasferimenti "necessari", ad esempio quando un europeo invia un messaggio diretto a un amico statunitense. Meta ha avuto solo un breve periodo di attuazione per trovare una soluzione, ma era a conoscenza della situazione legale da dieci anni e ha ricevuto una bozza di decisione già nel 2022.
Max Schrems:"Le vuote minacce di Facebook di interrompere i servizi in Europa sono ridicole. È di gran lunga il più grande mercato per Facebook al di fuori degli Stati Uniti. Un'opzione potenziale per il futuro sarebbe un social network 'federato', in cui i dati europei rimangono nei loro centri dati in Europa, a meno che gli utenti non chattino con un amico statunitense, per esempio"
Potrebbero seguire altre legittimazioni. Azione collettiva in corso nei Paesi Bassi. In base a una recente sentenza della CGUE, gli utenti potrebbero anche chiedere danni emotivi per violazioni minori dei loro diritti di protezione dei dati, come l'assoggettamento alla sorveglianza di massa degli Stati Uniti. Questo porterà porterà a richieste di risarcimento che potrebbero molto superiori alla sanzione odierna. Ad esempio, l'organizzazione olandese per i diritti dei consumatori Consumentenbond sta attualmente iscrivendo gli utenti olandesi di Facebook per presentare le loro richieste di risarcimento per i trasferimenti di dati tra l'UE e gli Stati Uniti. Senza che gli utenti chiedano un equo risarcimento, non potremo non senza che gli utenti richiedano un giusto risarcimento, non vedremo alcun vero cambiamento. Attualmente le autorità non sono molto attive nell'applicazione del GDPR, quindi le organizzazioni per i diritti dei consumatori e gli utenti devono agire. Per questo motivo, Incoraggio tutti gli utenti di Facebook nei Paesi Bassi a registrare le loro richieste di risarcimento per eventuali danni. Inoltre, quest'estate dovrà essere attuata la Direttiva sui ricorsi collettivi dell'UE, che per la prima volta consentirà agli utenti europei di intraprendere azioni collettive per le violazioni del GDPR.
Max Schrems:"Questa decisione potrebbe portare a cause civili contro Meta in Europa. Quest'estate l'UE implementerà anche un nuovo sistema di 'class action', che potrà essere utilizzato per le violazioni del GDPR"