Meta Platforms Ireland Limited dovrà pagare una sanzione di 1,2 miliardi di euro ad esito di un’indagine dell’Irish Data Protection Commission (DPC) sull’operato di Facebook rispetto ai dati personali dei propri utenti. Trattasi della multa più alta mai comminata in base al GDPR: ampiamente superato il precedente record di 887 milioni di euro inflitto ad Amazon Europe Core S.à r.l. dall’autorità lussemburghese per violazione degli obblighi GDPR per illecita profilazione degli utenti a fini pubblicitari.

Il provvedimento del 22 maggio è stato emanato dalla autorità irlandese – che ha condotto le indagini in qualità di Lead Supervisory Authority (LSA) nell’ambito dei meccanismi di cooperazione tra Stati membri di cui all’art. 60 del GDPR – ed ha rilevato l’irregolarità dei trasferimenti di dati personali degli utenti UE eseguiti dal 16 luglio 2020 Meta Platforms Ireland Limited verso gli Stati Uniti sulla base di clausole contrattuali standard (SCC) giudicate inadeguate quale base giuridica atta a proteggere i dati dei cittadini europei dall’esposizione all’eccessivo potere di accesso delle agenzie governative americane.

La decisione impone a Meta, come ovvio correlato, di rendere conformi al GDPR i suoi trasferimenti di dati extra UE. La deadline per l’adeguamento è di 6 mesi e dovrà riguardare anche la memorizzazione, negli Stati Uniti dei dati personali degli utenti europei trasferiti in violazione del Capo V del Regolamento 2016/679.

La multa è il punto di arrivo di un iter procedurale avviato nel 2020 ed è stata irrogata dal Garante irlandese sulla base della decisione vincolante di risoluzione delle controversie del Comitato dei garanti europei (Eurpean Data Protection Board – EDPB) del 13 aprile 2023. L’intervento dell’EDPB si era reso necessario perché l’autorità di Dublino – chiamata, come LSA, ad imporre anche per conto degli omologhi europei il rispetto del GDPR da parte dei vari colossi della digital economy che hanno insediato in Irlanda i propri headquarter UE, aveva ancora una volta mostrato il “braccino” al momento di dover castigare le loro violazioni di privacy. Come già accaduto in altri recenti procedimenti, particolarmente esemplificativo quello riguardante l’illecito interscambio di dati tra Whatsapp e Facebook, la DPC aveva nuovamente usato un mano giudicata troppo leggera, rispetto ai parametri sanzionatori del GDPR, nel proprio progetto di decisione confermando la propria inadeguatezza a recitare il ruolo di watchdog dei tanti giganti del web su cui ha competenza territoriale (vedi qui un nostro approfondimento sul tema). Siccome il GDPR stesso prevede che, se il progetto di decisione di una LSA non è condiviso dalle altre Data Protection Authority, tocca al consesso di tali autorità emettere una decisione vincolante, l’EDPB con la propria binding dispute resolution ha imposto alla DPC di modificare i termini del provvedimento finale.

Andrea Jelinek, presidente dell’EDPB, ha dichiarato: “L’EDPB ha ritenuto che l’infrazione di Meta IE sia molto grave in quanto riguarda trasferimenti sistematici, ripetitivi e continui. Facebook ha milioni di utenti in Europa, quindi il volume di dati personali trasferiti è enorme. La multa senza precedenti è un segnale forte per le organizzazioni che gravi violazioni hanno conseguenze di vasta portata”. L’EDPB ha ritenuto che il punto di partenza per il calcolo dell’ammenda della DPC dovesse essere compreso tra il 20% e il 100% del massimo legale applicabile.

Secondo i criteri del GDPR; la sanzione massima applicabile a Meta ai sensi del GDPR è pari al 4% del suo fatturato annuo globale. E poiché il fatturato dell’anno scorso è stato di 116,61 miliardi di dollari, la più elevata pena pecuniaria che avrebbe potuto ricevere sarebbe stata di oltre 4 miliardi di dollari. Ne consegue che l’autorità di regolamentazione irlandese ha scelto di multare Meta molto meno di quanto avrebbe potuto, ma comunque molto più di quanto avrebbe inizialmente voluto.

La condanna per i data transfer di Meta non può che allarmare tutti i colossi digitali USA che operano nel vecchio continente ma anche le aziende, le associazioni e le pubbliche amministrazioni UE che si avvalgono dei loro servizi divenuti ormai quasi indispensabili per chiunque. Come annotato dalla DPC nel proprio dispositivo “La presente decisione si applica solo a Meta Ireland. È chiaro, tuttavia, che l’analisi contenuta nella presente decisione mette in luce una situazione in cui qualsiasi piattaforma Internet che rientri nella definizione di fornitore di servizi di comunicazione elettronica soggetta al programma FISA 702 PRISM può ugualmente incorrere nei requisiti del capitolo V del GDPR e della Carta dei diritti fondamentali dell’UE per quanto riguarda il trasferimento di dati personali agli Stati Uniti”.

Come noto, il trasferimento di dati verso gli USA è tutt’oggi un problema aperto. Occorre risolvere definitivamente le questioni sollevate dalla Corte di giustizia dell’Unione europea (CGUE) che, con la decisione Schrems II, nel 2020 annullò la decisione di adeguatezza della Commissione alla base del quadro EU-U.S. Privacy Shield che per 4 anni aveva legittimato i flussi di dati tra le due sponde dell’oceano.

Si dice che la Commissione europea potrebbe adottare il nuovo accordo UE-USA sui dati a luglio, ma non è detto che il prospettato Trans-Atlantic Data Privacy Framework (DPF) – stanti gli elevatissimi interessi, anche economici, in ballo – non tardi ancora nel vedere la luce. In caso di tempi lunghi, tutti i soggetti (compresa Meta) coinvolti in attività che comportano uno US data transfer dovranno trovare un’altra base giuridica per legittimare il flusso transoceanico: cosa che si è mostrata tutt’altro che facile. Se invece il Trans-Atlantic Data Privacy Framework dovesse entrare in vigore entro qualche mese, Meta avrà una nuova scappatoia per evitare di dover sospendere il servizio di Facebook nell’UE e potrà fare affidamento sul nuovo meccanismo approvato da UE ed USA (almeno finché questo resisterà ad ulteriori possibili vagli della CGUE).

Meta, nel commentare la condanna e nel preannunciarne l’impugnazione, non ha mancato di evidenziare questo aspetto: “Non si tratta delle pratiche di privacy di un’azienda: c’è un conflitto fondamentale tra le norme del governo statunitense sull’accesso ai dati e i diritti di privacy europei, che i responsabili politici dovrebbero risolvere in estate. Ciò significa che se il DPF entrerà in vigore prima della scadenza dei termini di attuazione, i nostri servizi potranno continuare come oggi senza alcuna interruzione o impatto sugli utenti.”.

Solo a far conto dal 2020, le infrazioni GDPR commesse rispetto ai dati personali dei cittadini UE sono costate diverse centinaia di milioni di euro alla galassia che fa capo a Meta. Agli 1,2 miliardi della più recente decisione occorre infatti aggiungere, inter alia, le multe da:

• 390 mln per mancata raccolta del consenso alla pubblicità personalizzata degli utenti Facebook ed Instagram (2023);
• 405 mln per aver violato la privacy dei minori su Instagram (2022);
• 60 mln per irregolare gestione dei cookie di Facebook (2022);
• 265 mln per data breach riguardante oltre mezzo miliardo di utenti Facebook (2022);
• 225 mln a per illecito data sharing tra WhatsApp e Facebook (2021).

Volendo allargare il campo, in riferimento al medesimo arco temporale, alle multe comminate o pattuite negli USA per violazione dei dati dei cittadini americani, varrebbe la pena menzionare:

• 5 miliardi di dollari pattuiti nel 2019 con la Federal Trade Commission per chiudere con il governo il caso Cambridge Analytica cui vanno aggiunti i $725 mln concordati nel 2022 per soddisfare la relativa class action;
• $90 mln per uso di cookie traccianti anche fuori Facebook (2022);
• $650 mln per violazione della legge dello Stato dell’Illinois illecito utilizzo di sistemi di riconoscimento facciale degli utenti (2021).

Insomma, per Meta “giocare” con la privacy degli utenti è un costo apparentemente non indifferente. Ma se i dati personali sono il tuo core business e il loro sfruttamento economico – più o meno lecito – ti rende oltre 110 miliardi l’anno, un simile esborso può continuare ad esser messo a preventivo come ampiamente sopportabile. Questo, almeno, finché il tenore delle sanzioni per la violazione dei diritti altrui non sarà in grado di incidere seriamente sui tuoi conti e/o sul tuo modus operandi.