Meta, società proprietaria di Facebook, è stata multata per la cifra record di 1,2 miliardi di euro (1,3 miliardi di dollari) per aver trasferito i dati degli utenti dell’UE negli Stati Uniti in violazione di una precedente sentenza del tribunale, ha annunciato lunedì l’autorità di regolamentazione irlandese.
La Commissione irlandese per la protezione dei dati (DPC), che agisce per conto dell’Unione Europea, ha dichiarato che il Consiglio europeo per la protezione dei dati (EDPB) le ha ordinato di riscuotere “una multa amministrativa dell’importo di 1,2 miliardi di euro”.
Il DPC sta indagando sul trasferimento di dati personali dall’UE agli Stati Uniti da parte di Meta Ireland dal 2020.
Ha rilevato che Meta, che ha la sua sede europea a Dublino, non ha “affrontato i rischi per i diritti e le libertà fondamentali degli interessati” individuati in una precedente sentenza della Corte di giustizia dell’Unione europea (CGUE).
La CGUE interpreta il diritto dell’UE per garantire che sia applicato allo stesso modo in tutti gli Stati membri.
In risposta, Meta ha dichiarato di essere “delusa di essere stata individuata” e che la sentenza è “errata, ingiustificata e costituisce un pericoloso precedente per innumerevoli altre aziende”.
“Intendiamo appellarci sia alla sostanza della decisione che ai suoi ordini, compresa la multa, e chiederemo una sospensione attraverso i tribunali per sospendere i termini di attuazione”, hanno dichiarato in un blog Nick Clegg, presidente di Meta per gli affari globali, e Jennifer Newstead, chief legal officer.
“Non ci sono problemi immediati per Facebook in Europa”, hanno aggiunto.
Quarta multa
Le autorità di regolamentazione dell’UE hanno già colpito Meta con multe di centinaia di milioni di euro per la violazione dei dati da parte dei suoi servizi Instagram, WhatsApp e Facebook.
Si tratta della terza multa inflitta al gigante dei social media quest’anno nell’UE e della quarta in sei mesi.
A gennaio, il DPC ha inflitto a Meta una multa di 390 milioni di euro per aver violato le norme sui dati nell’uso di pubblicità mirata sulle sue app.
A marzo, Meta è stata costretta a pagare 5,5 milioni di euro per aver violato il GDPR con il suo servizio di messaggistica WhatsApp.
Nel 2021, il commerciante online Amazon è stato multato per 746 milioni di euro a Lussemburgo per aver violato il Regolamento generale sulla protezione dei dati (GDPR) dell’UE.
A seguito delle precedenti multe, Meta ha dichiarato di essersi impegnata a modificare i propri termini di utilizzo in Europa per poter continuare a raccogliere ed elaborare i dati personali dei propri utenti europei.
Nell’ultimo caso, il DPC aveva inizialmente voluto costringere Meta a sospendere i trasferimenti di dati illeciti, affermando che una multa “avrebbe superato l’estensione dei poteri che potrebbero essere descritti come ‘appropriati, proporzionati e necessari'”.
Ma le autorità di regolamentazione dell’UE, note come autorità di vigilanza interessate (CSA), non erano d’accordo e hanno affermato che Meta dovrebbe essere “soggetta a una multa amministrativa”, ha dichiarato il DPC.
Non potendo sperare in un consenso, l’organismo irlandese ha deferito le obiezioni all’EDPB, che ha stabilito che Meta Ireland deve sospendere i futuri trasferimenti di dati personali agli Stati Uniti e pagare una multa.
Un segnale forte
Clegg e Newstead hanno dichiarato che la decisione dell’EDPB di scavalcare il DPC “solleva seri interrogativi”.
“Nessun Paese ha fatto più degli Stati Uniti per allinearsi alle norme europee attraverso le loro ultime riforme, mentre i trasferimenti continuano ampiamente incontrastati verso Paesi come la Cina”, hanno aggiunto.
Il presidente dell’EDPB, Andrea Jelinek, ha definito la violazione di Meta “molto grave” e ha definito i trasferimenti di dati “sistematici, ripetitivi e continui”.
“La multa senza precedenti è un segnale forte per le organizzazioni che le violazioni gravi hanno conseguenze di vasta portata”, ha aggiunto.
Max Schrems, che ha dato il via a un decennio di battaglie legali con la sua sfida contro Meta per il trasferimento di dati dell’UE verso gli Stati Uniti, ha accolto con favore la decisione.
Ma l’attivista per la privacy ha affermato che si sarebbero potute applicare sanzioni molto più severe, poiché Meta ha “consapevolmente infranto la legge per ottenere un profitto”.
“Ci sono voluti 10 anni di controversie contro il DPC irlandese per arrivare a questo risultato… e abbiamo rischiato milioni di costi procedurali”, ha dichiarato Schrems.
“Il regolatore irlandese ha fatto di tutto per evitare questa decisione”, ha aggiunto.
