Come il DPC ha informato i giornalisti ieri, ha emesso una bozza di decisione ai sensi dell’articolo 60 GDPR, relativa ai trasferimenti di dati UE-USA di Facebook (Meta) alla luce della FISA 702 e delle divulgazioni di Snowden. Il progetto di decisione fa parte della procedura “di propria volontà” avviata dal DPC parallelamente alla denuncia originaria di Max Schrems.
Gli europei rischiano di vedere i servizi di social media Facebook e Instagram chiusi quest’estate, poiché l’autorità di regolamentazione della privacy irlandese ha raddoppiato l’ordine di interrompere i flussi di dati dell’azienda verso gli Stati Uniti.
Giovedì la Commissione irlandese per la protezione dei dati ha informato le sue controparti in Europa che impedirà a Meta, proprietario di Facebook, di inviare i dati degli utenti dall’Europa agli Stati Uniti La bozza di decisione del regolatore irlandese reprime l’ultima risorsa legale di Meta di trasferire grandi quantità di dati negli Stati Uniti , dopo anni di aspre battaglie giudiziarie tra il colosso tecnologico statunitense e gli attivisti europei per la privacy.
La Corte di giustizia europea nel 2020 ha annullato un patto sui flussi di dati UE-USA chiamato Privacy Shield a causa dei timori sulle pratiche di sorveglianza statunitensi. Nella sua sentenza, ha anche reso più difficile l’uso di un altro strumento legale che Meta e molte altre aziende statunitensi utilizzano per trasferire i dati personali negli Stati Uniti, chiamato clausole contrattuali standard (SCC). La decisione di uscire dall’Irlanda di questa settimana significa che Facebook è costretto a smettere di fare affidamento anche sugli SCC.
Meta ha ripetutamente avvertito che una tale decisione chiuderebbe molti dei suoi servizi in Europa, inclusi Facebook e Instagram.
“Se non viene adottato un nuovo quadro per il trasferimento dei dati transatlantico e non siamo in grado di continuare a fare affidamento sugli SCC o su altri mezzi alternativi di trasferimento di dati dall’Europa agli Stati Uniti, probabilmente non saremo in grado di offrire alcuni dei nostri più significativi prodotti e servizi, inclusi Facebook e Instagram, in Europa”
ha dichiarato Meta in un deposito alla US Securities and Exchange Commission nel marzo di quest’anno.
È probabile che l’ordine di blocco irlandese, se confermato dal gruppo di regolatori nazionali europei della protezione dei dati , manderà un brivido anche alla più ampia comunità imprenditoriale, che si è grattata la testa su come continuare a inviare dati dall’Europa agli Stati Uniti a seguito dell’UE sentenza della corte suprema nel 2020.
L’UE e gli Stati Uniti stanno negoziando un nuovo testo per il trasferimento dei dati che consentirebbe ad aziende come Meta di continuare a spedire dati attraverso l’Atlantico indipendentemente dall’ordine irlandese. Bruxelles e Washington a marzo hanno concordato un accordo preliminare a livello politico , ma i negoziati sulla stampa legale si sono arenati ed è improbabile che si raggiunga un accordo definitivo prima della fine dell’anno.
Un portavoce del DPC irlandese ha confermato che la bozza di decisione è stata inviata ad altri regolatori europei della privacy, che ora hanno un mese per dare il loro contributo, ma non discuteranno i dettagli della decisione.
“Questa bozza di decisione, che è soggetta a revisione da parte delle autorità europee per la protezione dei dati, si riferisce a un conflitto tra le leggi dell’UE e degli Stati Uniti che è in fase di risoluzione”, ha affermato un portavoce di Meta. “Accogliamo con favore l’accordo UE-USA per un nuovo quadro giuridico che consentirà il continuo trasferimento di dati oltre confine e prevediamo che questo quadro ci consentirà di mantenere collegate famiglie, comunità ed economie”.
Nessuna fermata immanente. Il progetto di decisione del DPC non comporterà un arresto imminente dei trasferimenti di dati. In effetti, la bozza di decisione attiverà il processo ai sensi dell’articolo 60 del GDPR , concedendo ad altre autorità per la protezione dei dati (“DPA”) un mese per commentare la decisione. Solitamente altre DPA europee si sono opposte a decisioni importanti provenienti dal DPC. Ciò avvia quindi una procedura ai sensi dell’articolo 65 GDPR , con un voto sulla decisione finale.
Max Schrems: ” Ci aspettiamo che altre DPA emettano obiezioni, poiché alcune questioni importanti non sono trattate nella bozza del DPC. Ciò porterà a un’altra bozza e quindi a una votazione. In altri casi ciò ha richiesto complessivamente un altro anno, poiché il DPC non ha attuare volontariamente i commenti di altre DPA e ci sono voluti più di sei mesi per inoltrare il caso in votazione “.
Due anni dalla decisione della CGUE, 9 anni dalla procedura. Il caso originale promosso da Max Schrems nel 2013 si è impegnato a essere condotto in “parallelo” con un caso “di propria volontà” aperto di recente. Il progetto di decisione riguarda solo “l’autodeterminazione”. La procedura di reclamo non è stata trasmessa all’EDPB.
Non è chiaro cosa sia successo al caso originale in questa fase, poiché il DPC in genere nasconde i dettagli di questi casi .
Max Schrems: ” La nostra procedura di reclamo originale è stata suddivisa in due procedure: una procedura di reclamo e una seconda procedura d’ufficio. Abbiamo chiesto al DPC commenti su cosa è successo alla procedura di reclamo. Complessivamente la procedura di reclamo è pendente da 9 anni, con nemmeno una bozza di decisione finora ” .
Nessuna multa – nonostante 9 anni di trasferimenti illegali di dati? Una questione importante della procedura sarà se solo i trasferimenti di dati in futuro debbano essere vietati, cosa che Facebook/Meta combatterà per anni nei tribunali irlandesi, o se una decisione finale includerà anche una multa per i trasferimenti illegali di dati degli ultimi anni .
Max Schrems: ” Facebook utilizzerà il sistema legale irlandese per ritardare qualsiasi effettivo divieto di trasferimento di dati. L’Irlanda dovrà mandare la polizia a tagliare fisicamente i cavi prima che questi trasferimenti si interrompano effettivamente. Quello che sarebbe comunque facile da fare, è una multa per negli ultimi anni, in cui la CGUE ha chiaramente affermato che i trasferimenti erano illegali. È strano che il DPC sembri “dimenticare” l’unica sanzione efficace in questo caso. Si potrebbe avere l’impressione che il DPC voglia solo avere questo caso andare in tondo ancora e ancora . ”
Che sia appena la punta dell’Iceberg ?
