L’indagine (che ha origini molto lontane nel tempo) che ha portato alla maxi-sanzione nei confronti di Meta per il trasferimento dei dati dei cittadini europei iscritti alle sue piattaforme verso gli Stati Uniti, si fonda su uno dei principi che sono alla base del Regolamento Europeo per la Protezione dei dati personali: il comma 1 dell’articolo 46 del GDPR. Questo riferimento normativo viene citato più volte all’interno delle 222 pagine redatte dal Garante della Privacy irlandese che ha agito a nome dell’Europa, dato che la holding di Mark Zuckerberg ha la sua sede nel Vecchio Continente proprio a Dublino.
LEGGI ANCHE > Da Schrems fino agli 1,2 miliardi: la storia della maxi-multa contro Meta
Per comprendere meglio le ragioni di questa sanzione – la più alta multa mai comminata da una Autorità nei confronti di un’azienda privata per violazione della privacy -, occorre analizzare al meglio cosa prescrive quel regolamento recepito e adottato da tutti gli Stati membri dell’Unione Europea. Per farlo, partiamo dal primo riferimento all’articolo 46 GDPR all’interno della decisione pubblicata il 22 maggio del 2023:
«I trasferimenti di dati sono effettuati in circostanze che non garantiscono un livello di protezione degli interessati, sostanzialmente equivalente a quello previsto dal diritto dell’UE e, in particolare, dall’Unione Europea e, in particolare, dal GDPR letto alla luce della Carta dei Diritti Fondamentali dell’Unione Europea. Di conseguenza, nell’effettuare i Trasferimenti di Dati, Meta Ireland violando l’articolo 46(1) del GDPR».
Quindi, per l’Autorità Garante irlandese, si sono connaturati tutti gli estremi per procedere con la sanzione da 1,2 miliardi di euro. Inoltre, è stato anche imposto a Meta di cessare il trasferimento di questi dati di cittadini Europei verso i server aziendali negli Stati Uniti entro cinque mesi e di procedere (entro sei mesi) alla cancellazione di quelli trasferiti in precedenza.
Ma cosa dice l’articolo 46 (in particolare il comma 1 citato nella decisione del Garante Privacy irlandese) del GDPR? Innanzitutto partiamo dal titolo: “Trasferimento soggetto a garanzie adeguate”. Poi leggiamo il testo:
«In mancanza di una decisione ai sensi dell’articolo 45, paragrafo 3, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi».
Garanzie adeguate che, come si legge nel comma 1 dell’articolo 46 GDPR, rientrano all’interno delle decisioni prese dalle Autorità (in questo caso dell’Unione Europea) ai sensi del comma 3 dell’articolo precedente (il 45):
«La Commissione, previa valutazione dell’adeguatezza del livello di protezione, può decidere, mediante atti di esecuzione, che un paese terzo, un territorio o uno o più settori specifici all’interno di un paese terzo, o un’organizzazione internazionale garantiscono un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo. L’atto di esecuzione prevede un meccanismo di riesame periodico, almeno ogni quattro anni, che tenga conto di tutti gli sviluppi pertinenti nel paese terzo o nell’organizzazione internazionale. L’atto di esecuzione specifica il proprio ambito di applicazione geografico e settoriale e, ove applicabile, identifica la o le autorità di controllo di cui al paragrafo 2, lettera b), del presente articolo».
Tra i criteri di valutazione dell’adeguatezza (indicati al paragrafo 2 dell’articolo 45) ci sono:
«lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la pertinente legislazione generale e settoriale (anche in materia di sicurezza pubblica, difesa, sicurezza nazionale, diritto penale e accesso delle autorità pubbliche ai dati personali), così come l’attuazione di tale legislazione, le norme in materia di protezione dei dati, le norme professionali e le misure di sicurezza, comprese le norme per il trasferimento successivo dei dati personali verso un altro paese terzo o un’altra organizzazione internazionale osservate nel paese o dall’organizzazione internazionale in questione, la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento».
Questo sistema a cascata, dunque, definisce se il trasferimento di dati di cittadini residenti nell’Unione Europea verso Paesi terzi è legittimo. Ed è qui che Meta ha, secondo il Garante irlandese, violato il GDPR.
Dunque, come nel più classico effetto domino, appare evidente la violazione – da parte di Meta – dall’articolo 46 GDPR. Infatti, come abbiamo spiegato in un approfondimento precedente, la decisione del luglio 2020 della Corte di Giustizia Europea (la sentenza Schrems II) di invalidare la decisione di adeguatezza del Privacy Shield (il precedente accordo UE-USA sul trasferimento dei dati) ha, di fatto, messo Meta nelle “condizioni” di violare il GDPR. Manca, almeno per il momento, un accordo in essere che consenta e renda lecita questa dinamica. Dunque, è stato violato l’articolo 46 del Regolamento Generale sulla Protezione dei dati per via di quanto indicato dall’articolo 45 dello stesso GDPR.