Ci sono voluti circa dieci anni, ma alla fine l’associazione Noyb fondata dall’avvocato Max Schrems ha visto apparentemente concludere una delle sue più importanti battaglie legali. Lunedì 22 maggio il Garante dei dati irlandese, il DPC, ha infatti riconosciuto definitivamente che Meta sia colpevole di aver violato l’Articolo 46(1) del General Data Protection Regulation (GDPR) per aver inoltrato i dati europei ai suoi server statunitensi, una colpa che costerà alla Big Tech la cifra di 1,2 miliardi di euro. La decisione, assunta il 12 maggio, è stata resa pubblica solamente di recente, ma si presenta come l’epilogo di un processo legale e diplomatico lungo e tortuoso.
Da una parte c’è Facebook, social che a porte chiuse ammette di essere molto lontano dal poter tutelare i dati, dall’altra c’è il DPC, organo di controllo che molti hanno accusato di agire con un grado di tolleranza a dir poco sospetto. Come terzo attore figura dunque lo European Data Protection Board (EDPB), il comitato UE per la protezione dei dati che il 13 aprile scorso ha sollecitato i tecnici irlandesi ad assumere una posizione marcata nei confronti delle abitudini commerciali di Meta.
Seppur a denti stretti, il DPC ha accolto le decisioni dell’Unione Europea imponendo alla Big Tech la già citata sanzione, ma anche l’obbligo di porre fine al travaso di informazioni che continua a muoversi verso i lidi californiani. In passato, Meta aveva dato a intendere che piuttosto che compiere un simile passo avrebbe preferito rimuovere l’accesso dei Paesi membri a Facebook, tuttavia non c’è il rischio che il portale possa cessare le sue funzioni da un momento all’altro. La presa di posizione del Garante non si tradurrà infatti in un fermo definitivo e coatto, l’azienda avrà cinque mesi di tempo per mettersi in regola. Non sembra però che la Big Tech abbia intenzione di sfruttare le settimane concessole per mettere a norma i propri sistemi: il Presidente degli affari globali di Meta, Nick Clegg, nonché il responsabile legale, Jennifer Newstead, hanno infatti già annunciato l’intenzione di appellarsi alla decisione.
La Corte di giustizia europea ha in passato espresso un giudizio contrario ai trasferimenti intercontinentali dei dati verso gli Stati Uniti. La giustificazione delle «condizioni contrattuali standard» (SCC) su cui si poggiano le strategie di difesa di Meta non ha trovato terreno fertile e, in sostanza, l’Unione Europea disconosce l’assunto di base che la protezione dei dati garantita dagli Stati Uniti sia in grado di fornire le tutele adeguate richieste dal GDPR. Difficile credere che Facebook possa sovvertire la situazione riportando per l’ennesima volta il caso davanti a un giudice, tuttavia un simile approccio potrebbe non di meno far guadagnare all’impresa del preziosissimo tempo.
Negli anni sono stati siglati ben due accordi atti a normare il trasferimento dei dati europei verso i server statunitensi, entrambi sono stati stracciati dalla Corte di giustizia, la quale li ha considerati inadeguati. Dal 2020 a oggi, i due continenti sono orfani di un accordo vero e proprio, quindi le aziende navigano con difficoltà le fitte nebbie di un limbo giuridico che non soddisfa pienamente nessuno, tuttavia per Meta c’è una luce in fondo al tunnel: UE e USA stanno discutendo un ennesimo patto, il Data Privacy Framework (DPF), il quale potrebbe ricevere il via libera definitivo già nei prossimi mesi.
Lo stesso Parlamento europeo teme che la bozza del DPF attualmente al vaglio non sia in grado di reggere lo scrutinio della Corte di giustizia, che anche questo accordo sarà destinato a essere riconosciuto come insufficiente, tuttavia la macchina giuridica potrebbe metterci anni prima di giungere a una posizione definitiva sulla questione, un periodo di grazia che potrebbe fare molto comodo a Facebook e ad altre realtà omologhe.
[di Walter Ferri]