
Meta condannata a pagare una multa di 1,2 miliardi di euro per trasferimenti illegali di dati negli Stati Uniti
View 559
words 1.4K read in 6 minutes, 53 Seconds
La Commissione per la Protezione dei Dati (Data Protection Commission, DPC) ha annunciato, il 22 maggio 2023, di aver emesso una decisione datata 12 maggio 2023, con cui ha inflitto a Meta Platforms Ireland Limited una multa di 1,2 miliardi di euro per violazione dell'articolo 46(1) del Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation, GDPR) riguardante la fornitura del servizio Facebook.
Contesto della decisione
L'indagine della DPC su Meta è iniziata nell'agosto 2020, a seguito della quale la DPC ha emesso una bozza di decisione in cui ha stabilito che i trasferimenti di dati di Meta alla controparte statunitense, Meta Platforms, Inc., erano effettuati in violazione dell'articolo 46(1) del GDPR e che tali trasferimenti dovevano essere sospesi. A tal proposito, i trasferimenti sono avvenuti sulla base di un accordo di trasferimento e trattamento tra Meta e la sua controparte statunitense, che incorporava le Clausole Contrattuali Standard (Standard Contractual Clauses, SCC) del 2021 della Commissione europea e includeva una Valutazione dell'Impatto del Trasferimento (Transfer Impact Assessment, TIA), con un elenco di garanzie che Meta e/o la sua controparte statunitense avevano adottato per tutelare i trasferimenti, tra le altre cose.
In seguito, la bozza di decisione della DPC è stata trasmessa alle autorità di controllo omologhe nell'UE/SEE, conosciute anche come Autorità di Controllo Interessate (Concerned Supervisory Authorities, CSA), in conformità alla procedura di cooperazione prevista dall'articolo 60 del GDPR. Di conseguenza, non essendo stato raggiunto un consenso nell'ambito della procedura di cooperazione, la DPC ha sottoposto le obiezioni delle CSA alla sua bozza di decisione all'European Data Protection Board (EDPB) per una decisione finale ai sensi del meccanismo di risoluzione delle controversie previsto dall'articolo 65 del GDPR.
Conclusioni della DPC
La DPC ha accertato che Meta ha violato l'articolo 46(1) del GDPR riguardo al trasferimento dei dati personali dall'UE/SEE agli Stati Uniti, alla luce della sentenza della Corte di Giustizia dell'Unione Europea (CJEU) nel caso Schrems II. In particolare, la DPC ha rilevato che, sebbene i trasferimenti siano avvenuti sulla base delle SCC aggiornate del 2021, unitamente a misure supplementari implementate da Meta, tali disposizioni non erano sufficienti per affrontare i rischi per i diritti fondamentali e le libertà degli interessati individuati dalla CJEU nel caso Schrems II.
In modo specifico, la DPC ha specificato che, in base alla sua valutazione dei trasferimenti di dati in questione, ha stabilito quanto segue:
La legge statunitense non fornisce un livello di protezione sostanzialmente equivalente a quello previsto dalla legge dell'UE;
Né le SCC del 2010, né le SCC del 2021 possono compensare l'inadeguata protezione offerta dalla legge statunitense;
Le misure indicate nell'elenco di garanzie di Meta che fanno parte della TIA e che vengono presentate o caratterizzate come supplementari rispetto alle misure previste nelle SCC del 2010 e/o del 2021, non compensano l'inadeguata protezione offerta dalla legge statunitense;
A Meta non è consentito fare affidamento sulle deroghe previste dall'articolo 49(1) del GDPR (o su nessuna di esse) per effettuare i trasferimenti di dati.
Risultati
Sulla base della decisione dell'EDPB del 13 aprile 2023, la DPC ha adottato le seguenti misure correttive nei confronti di Meta per la sua violazione dell'articolo 46(1) del GDPR:
Una multa di 1,2 miliardi di euro;
Un ordine, ai sensi dell'articolo 58(2)(d) del GDPR, per conformare le sue operazioni di trattamento al Capitolo V del GDPR, cessando il trattamento illecito, compresa la conservazione, negli Stati Uniti dei dati personali degli utenti dell'UE/SEE trasferiti in violazione del GDPR, entro sei mesi dalla data di notifica della decisione della DPC a Meta;
Un ordine, ai sensi dell'articolo 58(2)(j) del GDPR, per sospendere i futuri trasferimenti di dati personali verso gli Stati Uniti entro un periodo di cinque mesi dalla data di notifica della decisione della DPC a Meta.
In risposta alla decisione della DPC, Meta ha dichiarato che impugnerà la decisione della DPC e chiederà una sospensione delle scadenze applicabili davanti ai tribunali.
È possibile leggere il comunicato stampa qui, la decisione qui, la risposta di Meta qui e una dichiarazione di None of Your Business (NOYB) in merito qui.
Aggiornamento: 22 maggio 2023
L'EDPB affronta la multa di 1,2 miliardi di euro inflitta da parte della DPC a Meta
L'EDPB ha emesso, il 22 maggio 2023, un comunicato stampa riguardante la decisione della DPC di infliggere una multa e un'ordinanza di conformità a Meta. In particolare, l'EDPB ha dichiarato che nella sua decisione vincolante del 13 aprile 2023 aveva istruito la DPC a modificare la sua bozza di decisione per infliggere una multa a Meta alla luce della gravità della violazione commessa da Meta. Nella sua decisione, l'EDPB ha ulteriormente istruito la DPC ad ordinare a Meta di conformare le operazioni di trattamento al Capitolo V del GDPR, cessando il trattamento illecito, compresa la conservazione, negli Stati Uniti dei dati personali degli utenti europei trasferiti in violazione del GDPR, entro sei mesi dalla notifica della decisione finale della DPC.
Pertanto, l'EDPB ha osservato che la decisione finale della DPC incorpora la valutazione giuridica dell'EDPB nella sua decisione vincolante, adottata sulla base dell'articolo 65(1)(a) del GDPR, dopo che la DPC, in quanto autorità di controllo principale, ha avviato una procedura di risoluzione delle controversie in relazione alle obiezioni sollevate dalle CSA.
Citati nel testo:
- Data Protection Commission (DPC) - La Commissione per la Protezione dei Dati, l'autorità di controllo responsabile per l'applicazione del GDPR in Irlanda.
- Meta Platforms Ireland Limited - L'azienda che è stata multata dalla DPC per violazione del GDPR.
- General Data Protection Regulation (GDPR) - Il Regolamento Generale sulla Protezione dei Dati, la legge europea che disciplina la protezione dei dati personali.
- Article 46(1) - L'articolo del GDPR che riguarda i trasferimenti di dati personali verso paesi terzi.
- Meta Platforms, Inc. - La controparte statunitense di Meta Platforms Ireland Limited.
- Standard Contractual Clauses (SCCs) - Clausole Contrattuali Standard, un insieme di clausole stabilite dalla Commissione europea per regolamentare i trasferimenti di dati personali verso paesi terzi che non offrono un livello adeguato di protezione dei dati.
- Court of Justice of the European Union (CJEU) - La Corte di Giustizia dell'Unione Europea, l'organo giuridico supremo dell'UE.
- Schrems II case - Un caso legale che ha portato alla decisione della CJEU sulla validità dei trasferimenti di dati personali verso gli Stati Uniti.
- European Data Protection Board (EDPB) - L'organo consultivo dell'UE in materia di protezione dei dati, composto dai rappresentanti delle autorità di protezione dei dati di tutti gli Stati membri dell'UE.
- Concerned Supervisory Authorities (CSAs) - Le autorità di controllo omologhe nell'UE/SEE coinvolte nel processo decisionale riguardante la violazione di Meta.
- None of Your Business (NOYB) - Un'organizzazione non governativa per la tutela dei diritti digitali, che ha emesso una dichiarazione in merito alla decisione della DPC.
Glossario tecnico:
- GDPR (General Data Protection Regulation) - il Regolamento Generale sulla Protezione dei Dati dell'UE.
- DPC (Data Protection Commission) - la Commissione per la Protezione dei Dati, l'autorità di controllo irlandese responsabile dell'applicazione del GDPR.
- Meta Platforms Ireland Limited - l'azienda multata dalla DPC per violazione del GDPR.
- SCC (Standard Contractual Clauses) - Clausole Contrattuali Standard, utilizzate per regolare i trasferimenti di dati personali verso paesi terzi che non offrono un livello adeguato di protezione dei dati.
- CJEU (Court of Justice of the European Union) - la Corte di Giustizia dell'Unione Europea, l'organo giuridico supremo dell'UE.
- Schrems II case - un caso legale che ha portato alla decisione della CJEU sulla validità dei trasferimenti di dati personali verso gli Stati Uniti.
- EDPB (European Data Protection Board) - l'organo consultivo dell'UE per la protezione dei dati, composto dai rappresentanti delle autorità di protezione dei dati di tutti gli Stati membri dell'UE.
- CSAs (Concerned Supervisory Authorities) - le autorità di controllo omologhe nell'UE/SEE coinvolte nel processo decisionale riguardante la violazione di Meta.
- NOYB (None of Your Business) - un'organizzazione non governativa per la tutela dei diritti digitali.
Temi trattati nell'articolo:
- Violazione dell'articolo 46(1) del GDPR riguardante i trasferimenti di dati personali verso gli Stati Uniti.
- Decisione della DPC di multare Meta Platforms Ireland Limited.
- Inadeguatezza delle misure di protezione dei dati adottate da Meta per i trasferimenti di dati verso gli Stati Uniti.
- Obiezioni sollevate dalle autorità di controllo dell'UE/SEE e risoluzione delle controversie mediante l'intervento dell'EDPB.
- Misure correttive imposte dalla DPC a Meta.
- Intenzione di Meta di impugnare la decisione della DPC e richiesta di sospensione delle scadenze applicabili.
#GDPR #protezionedatipersonali #violazionedatipersonali #MetaPlatforms #DataProtectionCommission #trasferimentidatipersonali #StandardContractualClauses #inadeguatezzaprotezionedati #CJEU #SchremsII #EDPB #autoritàdicontrollo #privacydigitale