Perché il regolatore irlandese ha inflitto una multa a Meta?

Una sanzione così, leggiamo, non si era mai vista. Lunedì, Meta è stata multata dal regolatore irlandese per aver violato le norme europee sulla protezione dei dati (GDPR) tramite Facebook. Norme entrate in vigore esattamente cinque anni fa, il 25 maggio del 2018. L’ammontare della somma? 1,2 miliardi di euro. Semplicemente, è la sanzione più alta mai inflitta in Europa per questo tipo di infrazione.

Meta, dal canto suo, ha subito spiegato di voler presentare ricorso contro la decisione. L’Irlanda – dove Meta ha la sua sede legale – ha condannato il colosso tech statunitense per aver «continuato a trasferire dati personali» di utenti dallo Spazio economico europeo verso l’America in violazione, appunto, delle norme europee in materia. Questo, almeno, è quanto ha indicato nella sua decisione la Commissione irlandese per la protezione dei dati (DPC), che agisce per conto dell’UE. Non solo, Meta è stata invitata a «sospendere qualsiasi trasferimento di dati personali negli Stati Uniti entro cinque mesi» dalla notifica di questa decisione. La società dovrà inoltre adeguarsi al GDPR entro sei mesi. Meta dovrà altresì cancellare e riportare in Unione Europea tutti i dati precedentemente condivisi.

Questa sanzione, la più alta imposta da un regolatore della protezione dei dati in Europa, è il risultato di un’indagine avviata nel 2020.

Da parte sua, Meta come detto ha bollato la multa ritenendola «ingiustificata e non necessaria». L’azienda ora cercherà, tramite un’azione legale, di ottenere la sospensione della sentenza. «Migliaia di aziende e organizzazioni fanno affidamento sulla capacità di trasferire dati tra Unione Europea e Stati Uniti» si legge nella nota. E ancora: «C’è un conflitto di diritti fondamentali tra le regole del governo USA sull’accesso ai dati e i diritti europei alla privacy».

Meta auspica che Stati Uniti e Unione Europea adottino, durante l’estate, un nuovo quadro normativo per il trasferimento dei dati personali, sulla scia di un accordo di principio già adottato lo scorso anno.

Si tratta, ad ogni modo, della terza multa inflitta a Meta dall’inizio dell’anno nell’Unione Europea, la quarta in sei mesi. Alla fine di marzo, Meta aveva pure annunciato l’intenzione di apportare una modifica importante ai suoi termini di utilizzo per poter continuare a raccogliere ed elaborare i dati personali dei suoi utenti europei, dopo essere stata pesantemente sanzionata a gennaio. La Commissione irlandese per la protezione dei dati, all’epoca, aveva inflitto una multa di quasi 400 milioni di euro per infrazioni legate a Facebook, Instagram e WhatsApp.

Meta, in questi mesi, ha più volte minacciato di sospendere i propri servizi nell’Unione Europea. Minacce che Max Schrems, attivista per i diritti digitali e fondatore della ong austriaca NOYB, ritiene vane: l’Europa, al di fuori degli Stati Uniti, è infatti il mercato più importante per Meta. Che, non a caso, proprio nel vecchio continente ha già costruito centri locali per la raccolta dei dati.

Meta, spiegano alcuni analisti, potrebbe pure tentare di implementare un sistema che, di fatto, trasferirebbe in America solo i dati necessari: ad esempio, nel caso in cui un residente in Europa mandi un messaggio a qualcuno negli Stati Uniti. Ma la Corte di giustizia europea, su questo fronte, era stata chiarissima: non esistono basi giuridiche per legittimare i trasferimenti intercontinentali verso gli Stati Uniti, neppure facendo leva sulle condizioni contrattuali standard usate da Meta per continuare a trasferire i dati. Condizioni che, come appurato, non garantiscono la necessaria protezione nei confronti dell’accesso ai dati da parte delle agenzie di sorveglianza degli Stati Uniti. Il caso Snowden insegna, insomma.

I controlli, sempre più rigorosi, dell’Unione Europea sull’operato di Meta e delle altre piattaforme di social network trovano una buona rispondenza negli Stati Uniti, con Amazon, Apple, Google e Meta spesso nel mirino dei regolatori. Per tacere di TikTok, con lo Stato del Montana che di recente ne ha imposto il divieto.

Le violazioni del GDPR, in Europa, non riguardano solo Meta comunque: nel 2021, ad esempio, Amazon aveva ricevuto una multa di 746 milioni di euro.