Dopo Google con il suo Analytics, è Meta a finire nel mirino dei Garanti per la protezione dei dati personali europei.
- L’Autorità irlandese (scrive Politico) ha pronto un provvedimento di blocco del trasferimento dei dati extra SEE,
- mentre quella tedesca ha rilevato che sussiste la contitolarità del trattamento dei dati personali raccolti tramite le pagine Facebook fra Meta e il titolare della pagina stessa.
Vediamo quali possono essere i probabili scenari, anche in assenza di un nuovo Privacy Shield.
Il divieto del Garante irlandese a Meta
La Commissione Irlandese per la Protezione dei Dati avrebbe già pronto un provvedimento che impedirebbe a Meta Platforms Ireland Limited di trasferire fuori dallo spazio SEE i dati personali raccolti per il tramite delle sue piattaforme a causa della ormai famigerata disparità di tutela accordata agli interessati da parte dell’ordinamento europeo e di quello statunitense.
La bozza dell’accennato provvedimento sarebbe stata inviata anche a tutte le altre Autorità Garanti del vecchio continente, di modo che il blocco possa essere concertato a livello europeo, seppur limitato solo a Facebook e Instagram, dato che WhatsApp e gli altri servizi non dovrebbero essere oggetto del divieto.
I perché del divieto
Come noto, l’ordinamento giuridico europeo ha elevato la tutela della riservatezza di ogni persona fisica ad un livello molto più alto rispetto a quello statunitense, dato che quest’ultimo, come già più volte chiarito in passato nell’analizzare il caso di Google Analytics, predilige la tutela degli interessi e della sicurezza nazionali. Infatti, la normativa americana consente alle agenzie di intelligence di accedere ai database delle aziende sottoposte alla loro giurisdizione ed acquisire tutti i dati personali che ritengono necessari alla propria attività. Tutto ciò era stato portato alla ribalta dalla sentenza Schrems II con la quale la Corte di Giustizia Europea ha invalidato il Privacy Shield, cioè il trattato internazionale fra UE e USA che consentiva il trasferimento dei dati personali oltreoceano. Venendo meno il Privacy Shield, si applicano le regole e i principi del GDPR che prevedono che il trasferimento dei dati al di fuori dello Spazio Economico Europeo possa essere fatto solo rispettando determinate condizioni.
Dunque, la Commissione per la Protezione dei Dati Irlandese, ove abbia accertato che il trasferimento dei dati verso gli USA avvenga senza le previste tutele, ben può imporre il blocco a Meta.
Meta e i guai in Germania
A Meta non va di certo meglio nel resto d’Europa. Infatti, l’Authority tedesca ha ritenuto che l’azienda fondata da Mark Zuckerberg sia contitolare dei dati personali raccolti tramite una pagina Facebook assieme all’intestatario della pagina stessa.
Il principio enunciato, ove dovesse essere mai condiviso a livello europeo, avrebbe una portata devastante: chiunque abbia una pagina Facebook dovrà predisporre un accordo con Meta sul trattamento dei dati personali, dalla loro raccolta alla loro distruzione, disciplinando i compiti di entrambi gli enti. Ovviamente, si porrebbe nuovamente l’annoso problema del trasferimento dei dati all’estero, senza che l’intestatario della pagina possa concordare con Meta le modalità per trattare i dati all’interno dello spazio SEE, impedendone il trasferimento all’estero.
Il primo scenario: l’approvazione di un Privacy Shield 2.0
Meta potrebbe avere la sua ancora di salvezza nell’accordo sul trattamento dei dati personali che è stato già annunciato qualche tempo fa da Ursula von der Leyen e da Joe Biden: a differenza del primo Privacy Shield, ci si augura che delimiti meglio il perimetro entro il quale le agenzie di intelligence possano accedere ai dati personali dei cittadini europei o, comunque, che imponga alle aziende americane di trattare detti dati all’interno dello spazio SEE. In questo caso, Meta (così come Google e le altre Big Tech) potranno continuare a offrire i propri servizi in Europa, senza contraccolpi per le imprese che hanno basato il loro business solo ed esclusivamente sui suoi servizi digitali.
Il secondo scenario: nessun trattato o una sentenza Schrems III
Anche se il trattato sembrerebbe essere in dirittura d’arrivo, v’è la possibilità che non si trovi un accordo su qualche tema o che, ancora, Max Schrems lo impugni nuovamente (come, del resto, ha già annunciato di fare) innanzi alla Corte di Giustizia Europea, ottenendo un terzo annullamento. In questo caso, non vi sarebbero che due possibili vie: Meta e le altre big tech d’oltreoceano, pur di non perdere quote di mercato, delocalizzeranno il trattamento dei dati personali dei cittadini europei all’interno dello spazio SEE, senza trasmetterli all’estero. Per quanto una simile soluzione sarebbe decisamente esosa in termini economici, permetterebbe ai colossi di sopravvivere all’interno del nostro mercato.
La seconda via, invece, è che Meta scelga di non offrire più i propri servizi in Europa, con particolari ricadute sul mercato interno: infatti, chi ha basato la propria professione o la propria attività di marketing sui social network, subirebbe un contraccolpo non indifferente, almeno fino a che il mercato non stesso non trovi altre piattaforme più rispettose del GDPR.
L’estate calda dei dati
Insomma, questa estate non sarà calda solo per le temperature record, ma anche perché pare che il provvedimento del Garante irlandese possa comportare un blocco parziale dei servizi offerti da Meta, quali Facebook ed Instagram.
Se, da un lato, fortunatamente il mercato interno dei dati sta cambiando in favore della riservatezza di ciascuno di noi, dall’altro non bisogna dimenticare che lo scopo del GDPR è quello di trovare un bilanciamento fra il diritto di impresa e la tutela dei dati personali e, quindi, i prossimi mesi saranno cruciali per definire nuove modalità di trattamento, magari più etiche e rispettose della persona, senza però pesanti conseguenze per le nostre imprese.
