23 Maggio 2023• byGiulio Coraggio
La sanzione di 1,2 miliardi di euro ai sensi del GDPR emessa dal Garante privacy irlandese (DPC) contro Meta solleva la questione di come le aziende gestiscono i trasferimenti di dati.
Ma partiamo dall’inizio:
La sanzione ai sensi del GDPR contro Meta per il trasferimento dei dati
La Commissione irlandese per la protezione dei dati ha individuato gravi lacune nelle misure di sicurezza di Meta, sia organizzative che tecniche. Nonostante la definizione di policy per la divulgazione, le richieste sproporzionate, l’applicazione della legge e la protezione dei dati durante la trasmissione e sui laptop di Facebook, questi sforzi sono stati considerati insufficienti. Non sono riusciti a correggere i difetti intrinseci del sistema legale statunitense o a fornire un’ampia protezione, in linea con il diritto dell’UE, contro i poteri ad ampio raggio del governo statunitense nell’ambito delle richieste ai sensi della Sezione 702 FISA DOWNSTREAM (PRISM).
Infatti, secondo il DPC, Meta US deve divulgare i dati personali degli utenti se richiesti dal governo statunitense ai sensi della Sezione 702 FISA. Questa circostanza crea una contraddizione: mentre le Raccomandazioni sulle misure supplementari dell’EDPB sostengono un approccio basato sul rischio, la decisione respinge le affermazioni di Meta sulle richieste limitate del governo statunitense basandosi sull’affermazione della CGUE secondo cui non esistono limiti ai poteri della Sezione 702 FISA.
La posizione del DPC sembra essere quella di ritenere che, essendo Meta identificata come fornitore di servizi di comunicazione elettronica ai sensi della sezione 702/PRISM, qualsiasi misura contrattuale, tecnica o organizzativa, per quanto robusta possa essere, non possa risolvere completamente le carenze della legge statunitense. Questo approccio è dovuto al fatto che, in caso di richiesta governativa valida ai sensi della legge 702, Meta sarebbe legalmente obbligata a rivelare i dati personali dei propri utenti.
Il paragrafo 7.199 della decisione stabilisce che “le raccomandazioni sulle misure supplementari dell’EDPB non escludono il cosiddetto approccio basato sul rischio“. Ma le disposizioni non possono essere lette come se il tribunale convalidasse tale valutazione.
Inoltre, questa decisione è stata convalidata dalle altre autorità privacy nell’ambito della procedura di coerenza. Pertanto, ci si aspetta che un parere simile venga seguito da altre autorità di regolamentazione della protezione dei dati dell’UE.
Come le aziende dovranno gestire i trasferimenti di dati dopo la decisione contro Meta?
Le aziende sembrano essere arrivate a un punto morto.
La migrazione verso un’infrastruttura tecnica completamente basata sull’UE senza accesso ai dati provenienti dall’esterno del SEE sarebbe molto costosa e, in alcuni casi, non esistono alternative valide ai fornitori statunitensi. Una decisione di adeguatezza sui trasferimenti di dati verso gli Stati Uniti sarà probabilmente approvata, ma il rischio di una Schrems 3 è alto, soprattutto dopo il caso Meta.
La DPC non ha chiuso completamente la porta a un approccio basato sul rischio e, anche se fosse così, la valutazione del rischio è la spina dorsale della conformità alla protezione dei dati. Pertanto, in un’eventuale controversia giudiziaria, l’azienda avrebbe validi argomenti per difendere la propria tesi.
In questo scenario, l’esecuzione di una valutazione dell’impatto del trasferimento (TIA) utilizzando una metodologia basata sul rischio ampiamente riconosciuta dal mercato rappresenta l’unica opzione possibile. Al contrario, la strategia di “aspettare e vedere” senza eseguire una TIA porterà inevitabilmente a una sanzione.
Una soluzione come la metodologia di trasferimento dei dati e la soluzione di legal tech di DLA Piper denominata “Transfer” è già utilizzata da oltre 300 clienti ed è stata esaminata dalle principali autorità europee per la protezione dei dati. Potete avere maggiori informazioni al link QUI e contattarci per organizzare una demo.
Sullo stesso tema, potete trovare interessante il seguente articolo: “Avete una metodologia di valutazione dell’impatto del trasferimento dei dati basata sulla decisione Schrems II?“.