Maxi multa da 1,2 miliardi di euro per META il Garante irlandese, recependo una decisione del 13 aprile 2023 dell’EDPB Comitato europeo per la protezione dei dati Garante della privacy dell’UE , constata il persistere delle violazioni del GDPR nell’attività di trasferimento dei dati degli utenti del gruppo e delle società da esso controllate Whatsapp aveva avuto un’analoga salata multa dal Garante irlandese il 19/1/23 , malgrado l’adozione delle clausole standard stabilite dalla Commissione dell’UE e misure di garanzia suppletive da parte dell’holding sanzionata.
È quanto deciso il 22 maggio dal Garante della Privacy irlandese Commissione per la protezione dei dati, DPC a conclusione di una lunga istruttoria e solo dopo che il Garante della privacy dell'UE aveva adottato detta sua decisione vincolante. Fonti di Meta riferiscono che impugneranno questo provvedimento. Prassi della CGUE e della CEDU L'origine del contendere tra UE ed USA è la violazione della privacy sollevata per la prima volta dal caso Schrems , uno studente di giurisprudenza che, sulla scorta delle rivelazioni di Snowden Big Brither watch ed altri c. Regno Unito nella rassegna del 14/9/18 , aveva contestato il trasferimento dei dati da Facebook all'intelligence americana tutto era finalizzato alla lotta al crimine, al terrorismo ed alla sicurezza pubblica . Con una serie di sentenze la CGUE ha messo in discussione i programmi americani Prism, Upstream, PPD-28 etc. ed addirittura le decisioni tra USA ed UE soprattutto il c.d. Privacy shield, che non tutelava affatto la privacy degli utenti dei social EU C 2015 650, 2019 820 e 772 e 2020 559 e 790 nei quotidiani del 17/7 e 6/10/20 per una capillare ricostruzione della vicenda si veda Big Brother Watch ed altri c. Regno Unito e Centrum for Rattvisa c. Svezia nel quotidiano del 25/5/21 . Con la dichiarazione d'illegittimità del c.d. Privacy shield e della Decisione 2016/1250 la CGUE aveva dettato un serie di criteri per colmare la lacuna e superare le deroghe al GDPR Eu c 2020 559 . Evoluzione della problematica Questa impasse sembrava superata da nuovi accordi tra USA ed UE conclusi lo scorso anno, ma soprattutto dall'adozione di nuove Clausole Contrattuali Standard SCC v. contributi nei quotidiani del 20/12/22 e 24/11/20 stabilite dall'UE. Tutto ciò aveva portato anche ad alcuni ordini esecutivi del Presidente degli USA ed alla Decisione 2021/914 per implementare la sicurezza del trasferimento dei dati. Contestualmente il Presidente Biden aveva emanato un nuovo ordine esecutivo il 7/10/22 Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities EO 14086 . Avrebbe dovuto regolamentare la materia, introducendo un ricorso ulteriore ed autonomo da quello previsto dal GDPR ed istituendo un Tribunale speciale per dirimere le liti sul trasferimento dei dati al 19/1/23 era restato tutto lettera morta considerando che i giudici di questo Tribunale speciale non sono mai stati nominati e che l'UE non era tra gli Stati qualificati che potevano ricevere ed esaminare i reclami sul trasferimento illecito di dati verso gli USA. Meta dal canto suo aveva recepito ed adottato le SCC ed adottato altre misure di garanzia, ma l'EPDB ha evidenziato come ciò sollevasse seri dubbi sul rispetto dei diritti e delle libertà altrui alla luce della citata prassi della CGUE e che le già evidenziate deroghe al GDPR continuassero a persistere v. decisione del 13/4/23 allegata . Decisione del Garante irlandese In primis il Garante della privacy irlandese ha preso atto della decisione della High Court interna in cui si acclarava il persistere della deroga dell' art 46 GDPR in ordine a questi trasferimenti e se ne chiedeva l'immediata sospensione. Il Garante ha attuato la procedura di cooperazione ex art. 60 GDPR coinvolgendo le autorità capofila ed i CSA ossia gli altri Garanti della privacy sollevando dubbi sui poteri correttivi ad essi riconosciuti, stante il fatto che non vi era unanimità sull'elevare ulteriori sanzioni e sul lasso di tempo della sospensione dei contestati trasferimenti una minoranza chiedeva dal luglio 2020 ad oggi . Il Garante irlandese non era d'accordo su ulteriori sanzioni, riflettendo la sua opinione secondo cui l'esercizio di ulteriori poteri correttivi, oltre all'ordine di sospensione proposto, supererebbe la portata dei poteri che potrebbero essere descritti come appropriati, proporzionati e necessari per affrontare la violazione dell' articolo 46, paragrafo 1 GDPR . Ha perciò attivato il meccanismo di risoluzione delle controversie ex articolo GDPR deferendo la questione all'EPDB che ha emesso la sua decisone vincolante il 13/4/23. Perciò il Granate irlandese in merito all'esercizio dei poteri correttivi ha preso questa decisone un'ordinanza, emessa ai sensi dell'articolo 58, paragrafo 2, lettera j , del GDPR, che impone a Meta Ireland di sospendere qualsiasi futuro trasferimento di dati personali negli Stati Uniti entro il periodo di cinque mesi dalla data di notifica della decisione del DPC a Meta Ireland una sanzione amministrativa dell'importo di 1,2 miliardi di euro riflettendo la determinazione dell'EDPB che dovrebbe essere irrogata una sanzione amministrativa, per sanzionare la violazione accertata. Il DPC ha determinato l'importo della sanzione da irrogare facendo riferimento a valutazioni e determinazioni che sono state incluse nella decisione dell'EDPB e un ordine, emesso ai sensi dell' articolo 58, paragrafo 2, lettera d , del GDPR , che impone a Meta Ireland di conformare le proprie operazioni di trattamento al Capo V del GDPR , cessando il trattamento illecito, inclusa la memorizzazione, negli Stati Uniti di dati personali dell'UE /SEE trasferiti in violazione del GDPR , entro 6 mesi dalla data di notifica della decisione del DPC a Meta Ireland .
Binding Decision 1/2023 Decision of the Data Protection Commission