4a lettura dell'Avvento: Il "Transfer Impact Assessment" di Facebook ignora completamente le sentenze della Corte di giustizia
Nell'ultima "Lettura d'Avvento" di protesta contro la rimozione di noyb da una procedura da parte del DPC irlandese, discuteremo lo scarto di Facebook delle sentenze della Corte di giustizia europea (CJEU) sui trasferimenti di dati UE-USA, in un presunto "riservato" di 86 pagine "Transfer Impact Assessment". Dal 2013, la questione della cooperazione di Facebook con le agenzie governative statunitensi sulla sorveglianza di massa è pendente davanti alla Commissione irlandese per la protezione dei dati ("DPC"). Una prima decisione della DPC irlandese non è nemmeno in vista - 8,5 anni dopo la denuncia iniziale e 1,5 anni dopo il secondo chiarimento della CGUE. Schrems:"Facebook ignora completamente la Corte di giustizia, nonostante due sentenze esplicite"
- POLITICO ha riportato il documento: "La massima corte europea dice che Washington gioca in fretta e furia con i dati europei. Facebook non è d'accordo"
- Deep Dive: Descrizione dettagliata e lettura dell'Avvento dai quattro documenti (45 minuti)
"TIA": L'ignoranza di Facebook nei confronti della CGUE in tre passi. Dopo le chiare sentenze in "Schrems I" e "Schrems II", Facebook avrebbe dovuto fermare immediatamente i trasferimenti di dati dall'UE agli Stati Uniti, poiché sono stati dichiarati illegali due volte. Oggi (1,5 anni dopo), Facebook non ha preso alcun provvedimento per limitare i suoi trasferimenti di dati. Invece, ha prodotto un "Transfer Impact Assessment" ("TIA") di 86 pagine sotto la clausola 14 delle nuove clausole contrattuali standard ("SCCs"), arrivando al sorprendente risultato che la sentenza della CJEU non si applicherebbe a Facebook e i trasferimenti potrebbero continuare come sono. Secondo i documenti che abbiamo ricevuto, assolutamente nessuna misura nuova o rilevante è stata presa da Facebook in seguito alla sentenza della CJEU del 16.6.2020.
Max Schrems, presidente di noyb.eu:"Facebook sta ignorando la legge dell'UE da 8,5 anni ormai. I documenti appena rilasciati dimostrano che essi semplicemente ritengono che la Corte di giustizia ha torto - e Facebook ha ragione. Si tratta di un'incredibile ignoranza dello stato di diritto, supportata dalla mancanza di azioni esecutive da parte del DPC irlandese. Non c'è da stupirsi che Facebook voglia mantenere questo documento riservato. Tuttavia, dimostra anche che Facebook non ha una seria difesa legale quando continua a spedire i dati degli europei negli Stati Uniti."
Quattro documenti. noyb sta rendendo trasparente il contenuto dei quattro documenti pertinenti. Il "Overview Document" chiarisce che Facebook fa tre passi per arrivare alla conclusione che può continuare a trasferire dati negli Stati Uniti, nonostante due sentenze della CGUE: In primo luogo contraddice direttamente due sentenze della Corte di giustizia, che hanno affermato che le leggi di sorveglianza degli Stati Uniti violano i diritti fondamentali dell'UE. Invece la "valutazione di equivalenza" di Facebook ritiene che le leggi dell'UE e degli Stati Uniti siano di fatto equivalenti. In secondo luogo, la "Valutazione dei fattori" di Facebook dice che il rischio per gli utenti è minimo - di nuovo in diretta contraddizione con la Corte di giustizia. In un terzo passo, il "Record of Safeguards" di Facebook menziona varie misure in atto che controbilancerebbero qualsiasi violazione della legge UE. In realtà, nessuna di queste misure è effettivamente rilevante per la sorveglianza della Sezione 702 FISA. Sono una lista di standard minimi industriali per la sicurezza (sotto l'articolo 32 GDPR) che sono in atto indipendentemente dalle leggi di sorveglianza degli Stati Uniti.
Mentre le voluminose 86 pagine cercano di dare l'impressione di un'analisi sofisticata, l'elemento centrale della valutazione di Facebook è riassunto nella conclusione del TIA di Facebook:
In altre parole: Facebook dice semplicemente che la legge degli Stati Uniti è "equivalente" alla legge dell'UE, nonostante due decisioni della Corte di giustizia che dicono il contrario.
Deeper Dive:noyb ha fatto quattro video leggendo i riassunti di tutti e quattro i documenti come parte di un "deep dive" in questi documenti, che spiega anche il contenuto di questi documenti in modo più dettagliato. Clicca qui per l'immersione profonda. Dato il rischio che Facebook e il DPC irlandese usino cause frivole per vendicarsi di noyb tramite una "causa SLAPP", abbiamo deciso di leggere e descrivere i documenti in dettaglio, questo permetterà a tutti di avere una buona comprensione dei documenti, minimizzando il rischio di cause frivole da parte di Facebook o del DPC.
Nessuna decisione da parte del DPC irlandese nonostante il dovere legale. Il reclamo sottostante è in sospeso dal 2013 ed è stato oggetto di cinque procedure irlandesi e due della Corte di giustizia, con un costo di oltre 10 milioni di euro. Potete trovare una panoramica approssimativa del caso nel grafico qui sotto. Nel 2020 la CGUE ha di nuovo dichiarato esplicitamente che il DPC "è tenuto a sospendere o vietare un trasferimento di dati" (paragrafo 121). Allo stesso modo, nell'ultimo accordo tra il DPC e il signor Schrems è stata promessa una decisione rapida il 12.1.2021. 8,5 anni dopo il reclamo iniziale non c'è ancora nessuna decisione in vista - nonostante il DPC abbia ripetutamente "accolto" i chiarimenti forniti da ogni perdita in tribunale. Anche quando una prima decisione del DPC verrebbe emessa, sarebbe soggetta a più livelli di appello in Irlanda. Tuttavia, i documenti mostrano che Facebook non ha in realtà alcuna base legale credibile per trasferire i dati degli europei negli Stati Uniti - rischiando multe massicce e una riorganizzazione dell'intero business.
Aggiornamento SCC della Commissione Europea abusato da Facebook? La base per il "Transfer Impact Assessment" di Facebook è la clausola 14 delle nuove "Standard Contract Clauses" adottate dalla Commissione Europea. Questa nuova serie di regole è diventata applicabile dal momento che il DPC non ha preso una decisione sul caso entro un periodo di tempo ragionevole. Fino ad oggi, Facebook è passato costantemente da un motivo giuridico per il trasferimento dei dati ad un altro (prima "Safe Harbor", poi "Privacy Shield" e i vecchi SCC e ora i nuovi SCC). Oltre a questi motivi multipli per il trasferimento, Facebook ha anche recentemente sollevato la "necessità contrattuale" e il "consenso" per tutti i trasferimenti di dati ai sensi dell'articolo 49 (1) GDPR. Finora, non sembra che il DPC abbia indagato affatto su questi nuovi argomenti.
Schrems:"Il DPC irlandese è estremamente lento e non ha il controllo di queste procedure. Facebook si sposta costantemente su un altro argomento, mentre il DPC non ha nemmeno deciso sulla decisione del 2013. Facebook sta dominando questa procedura - invece del DPC"
Potenziale "causa SLAPP" da parte del DPC e di Facebook. Date le numerose minacce nonostante una chiara base legale per queste pubblicazioni, noyb si aspetta ora "SLAPP suits" senza fondamento (vedi un grande riassunto di John Oliver, purtroppo solo su YouTube) da parte del DPC e/o Facebook Ireland Limited. Non è improbabile che Facebook o il DPC cerchino di portare una causa in Irlanda o nel Regno Unito, dato che questi sistemi legali sono estremamente costosi e una giurisdizione perfetta per rovinare una ONG. Abbiamo quindi geobloccato i documenti rilevanti in queste giurisdizioni.