La carta del Data Privacy Framework che leverebbe Meta dagli impacci

Meta ha rassicurato che, almeno per il momento, non interromperà le sue attività in Europa. D’altronde, la stessa sentenza che ha condannato Menlo Park al pagamento di una sanzione record da 1,2 miliardi di euro ha “concesso” alla holding di Mark Zuckerberg cinque mesi di tempo per sospendere il trasferimento dei dati degli utenti europei verso i server statunitensi. Un lasso di tempo (esteso a sei mesi per quel che riguarda la cancellazione dei dati trasferiti nel corso degli anni) in cui si inserisce un tassello fondamentale che potrebbe ripristinare lo status quo antecedente alla decisione del Garante della Privacy Irlandese: parliamo del Data Privacy Framework.

LEGGI ANCHE > Quanto è concreto il rischio che Meta spenga Facebook e Instagram in Europa?

Facciamo un piccolo riepilogo storico. Dopo la sentenza della Corte di Giustizia dell’Unione Europea – nel cosiddetto “Schrems II” – del luglio del 2020, sono decaduti tutti quei princìpi che regolavano il trasferimento dei dati dei cittadini residenti nell’Unione Europea e gli Stati Uniti. Di fatto, è stato cancellato il “Privacy Shield”, quell’accordo USA-UE che consentiva – per l’appunto – questa dinamica, invalidando la decisione di adeguatezza su questo provvedimento. Di fatto, da quel momento, c’è stato un vulnus normativo che ha portato alla maxi-multa nei confronti di Meta, rea – secondo il Garante Privacy irlandese, di aver proseguito con quel trasferimento in contrasto con l’articolo 46 del GDPR.

Data Privacy Framework e la multa dell’Europa a Meta

Questo quadro storico serve per avere le basi su quel che potrebbe succedere di qui a breve. Perché un accordo politico (non tecnico) è stato sancito nel mese di marzo del 2022, quando la Presidente della Commissione UE Ursula von der Leyen e il numero uno della Casa Bianca Joe Biden si sono incontrati. Poi, il 13 dicembre dello scorso anno, il testo è stato pubblicato sui portali istituzionali europei. Un’operazione per dare il via alle decisioni di adeguatezza da parte delle commissioni. Si tratta di un testo (con il Presidente USA che ha accelerato il processo grazie a un ordine esecutivo) che dovrebbe tornare a regolamentare il trasferimento dati dall’Europa agli Stati Uniti (in linea con quanto prescritto dall’articolo 46 e seguenti del GDPR). Un qualcosa di non tanto dissimile rispetto al Privacy Shield, ma migliorato rispetto a quei vincoli che portarono alla bocciatura nel 2020.

Ma se l’accordo politico – ovvero l’unità d’intenti – è stato sancito, manca l’approvazione. E il percorso sembra essere ancora molto lungo. Anche perché, il 28 febbraio scorso l’European Data Protection Board (EDPB) ha valutato positivamente la bozza di quella proposta (migliorativa) ma ha messo in evidenze alcune preoccupazioni. In particolare relative a questi aspetti:

«Determinati diritti degli interessati, i trasferimenti successivi, la portata delle esenzioni, la raccolta temporanea di dati in blocco e il funzionamento pratico del meccanismo di ricorso». 

Più dura, solo qualche giorno prima, la posizione della Commissione LIBE (Commissione per le libertà civili, la giustizia e gli affari interni) che ha dato parere negativo, invitando tutte le altre commissioni che dovranno esprimere il loro giudizio di adeguatezza a non farlo:

«Non adottare alcuna nuova decisione di adeguatezza in relazione agli Stati Uniti, a meno che non vengano introdotte riforme significative, in particolare ai fini della sicurezza nazionale e dell’intelligence». 

Dunque, anche all’interno dei palazzi decisionali dell‘Unione Europea c’è grande perplessità attorno a questo testo. I motivi sono semplici: c’è il rischio di ritrovarsi in una condizioni simile a quella che ha portato alla bocciatura del precedente Privacy Shield.

Cosa potrebbe accadere

I lavori, dunque, sono in corso. Stando a queste considerazioni, c’è il rischio che il Data Privacy Framework non vede mai la luce (almeno per quel che riguarda l’Europa), provocando un effetto domino sancito dalla richiesta fatta dal Garante Privacy irlandese a Meta: interrompere il trasferimento dei dati dei cittadini UE verso gli Stati Uniti. Ma da Bruxelles trapela dell’ottimismo e si indica nella data del 1° luglio il giorno in cui si potrebbe arrivare a un accordo. Intesa che sancirebbe il decadimento di parte dell’ordinanza emessa contro Menlo Park che, qualora venisse approvato il testo, potrebbe proseguire nel trasferimento dei dati verso i server statunitensi (o potrebbe utilizzare i data center europei).