Meta ha ordinato di sospendere i flussi di dati di Facebook nell'UE poiché è stata colpita da una multa record di 1,2 miliardi di euro per la privacy ai sensi del GDPR
Finalmente è successo: Meta, la società precedentemente nota come Facebook, è stata colpita da un ordine di sospensione formale che le impone di interrompere l'esportazione dei dati degli utenti dell'Unione Europea negli Stati Uniti per l'elaborazione.
Oggi il Comitato europeo per la protezione dei dati (EDPB) ha annunciato che Meta ha ricevuto una multa di 1,2 miliardi di euro (quasi 1,3 miliardi di dollari), che il Consiglio ha confermato essere la sanzione più alta mai emessa ai sensi del Regolamento generale sulla protezione dei dati (GDPR) del blocco.
(Il record precedente va ad Amazon, che è stato punto per $ 887 milioni per aver abusato dei dati dei clienti per il targeting degli annunci nel 2021.) La sanzione di Meta è per violazione delle condizioni stabilite nel regolamento pan-UE che disciplina i trasferimenti di dati personali ai cosiddetti paesi terzi (in questo caso gli Stati Uniti) senza garantire adeguate protezioni per le informazioni delle persone.
I giudici europei hanno precedentemente riscontrato che le pratiche di sorveglianza degli Stati Uniti sono in conflitto con i diritti alla privacy dell'UE.
In un comunicato stampa che annuncia la decisione odierna, il presidente dell'EDPB, Andrea Jelinek, ha dichiarato: L'EDPB ha ritenuto che l'infrazione di Meta IE [dell'Irlanda] sia molto grave in quanto riguarda trasferimenti sistematici, ripetitivi e continui.
Facebook ha milioni di utenti in Europa, quindi il volume di dati personali trasferiti è enorme.
La multa senza precedenti è un segnale forte per le organizzazioni che gravi violazioni hanno conseguenze di vasta portata.
Al momento in cui scriviamo la Commissione irlandese per la protezione dei dati (DPC), l'organismo responsabile dell'attuazione della decisione vincolante dell'EDPB, non ha fornito commenti.
(Ma la sua decisione finale può essere trovata qui.) Meta ha rapidamente pubblicato un post sul blog con la sua risposta all'ordine di sospensione in cui ha confermato che farà appello.
Ha anche cercato di incolpare la questione di un conflitto tra il diritto dell'UE e degli Stati Uniti, piuttosto che le proprie pratiche sulla privacy, con Nick Clegg, presidente, affari globali, e Jennifer Newstead, chief legal officer, scrivendo: Stiamo facendo appello contro queste decisioni e lo faremo immediatamente chiedere una sospensione ai tribunali che possono sospendere i termini di attuazione, visto il danno che questi ordini arrecherebbero, anche ai milioni di persone che usano Facebook ogni giorno.
Ad aprile, il gigante dell'adtech ha avvertito gli investitori che circa il 10% delle sue entrate pubblicitarie globali sarebbe stato a rischio se fosse stata effettivamente implementata una sospensione dei flussi di dati dell'UE.
Alla domanda prima della decisione quali preparativi sono stati fatti per una possibile sospensione, il portavoce di Meta Matthew Pollard ha rifiutato di fornire "ulteriori indicazioni".
Invece ha fatto riferimento a una precedente dichiarazione in cui la società ha affermato che il caso si riferisce a un "conflitto storico tra il diritto dell'UE e degli Stati Uniti" che ha suggerito è in procinto di essere risolto dai legislatori dell'UE e degli Stati Uniti che stanno lavorando a un nuovo data transatlantico accordo di trasferimento.
Tuttavia, il quadro dei dati transatlantici riavviato a cui fa riferimento Pollard deve ancora essere adottato.
Vale anche la pena notare che mentre l'ordine di multa e sospensione di oggi è limitato a Facebook, Meta è tutt'altro che l'unica azienda interessata dall'incertezza legale in corso legata ai trasferimenti di dati UE-USA.
Quindi è probabile che la pressione venga amplificata sui legislatori su entrambe le sponde dell'Atlantico per portare l'accordo oltre il limite.
La decisione che emerge dal DPC irlandese deriva da una denuncia presentata contro la filiale irlandese di Facebook quasi un decennio fa, dall'attivista per la privacy Max Schrems, che è stato un critico esplicito del principale regolatore della protezione dei dati di Meta nell'UE, accusando il regolatore della privacy irlandese di intraprendere un percorso intenzionalmente lungo e tortuoso per frustrare l'effettiva applicazione del regolamento del blocco.
Sulla sostanza della sua denuncia, Schrems sostiene che l'unico modo infallibile per risolvere il circolo vizioso dei flussi di dati UE-USA è che gli Stati Uniti afferrino l'ortica e riformino le loro pratiche di sorveglianza.
Rispondendo all'ordine odierno in una dichiarazione (tramite il suo diritto alla privacy no-profit, noyb), ha detto: “Siamo felici di vedere questa decisione dopo dieci anni di contenzioso.
La multa poteva essere molto più alta, visto che la multa massima è di oltre 4 miliardi e Meta ha consapevolmente infranto la legge per fare lucro per dieci anni.
A meno che le leggi sulla sorveglianza degli Stati Uniti non vengano corrette, Meta dovrà ristrutturare radicalmente i suoi sistemi.
Da parte sua, il DPC – che sovrintende alla conformità al GDPR per diversi giganti della tecnologia la cui sede regionale si trova in Irlanda – respinge sistematicamente le critiche secondo cui le sue azioni creano un collo di bottiglia per l'applicazione, sostenendo che i suoi processi riflettono ciò che è necessario per eseguire la due diligence su complessi transfrontalieri casi.
Spesso cerca anche di scaricare la colpa per i ritardi nel prendere decisioni su altre autorità di vigilanza che sollevano obiezioni ai suoi progetti di decisione.
Tuttavia è degno di nota il fatto che le obiezioni alle bozze di decisione del DPC contro Big Tech abbiano portato a un'applicazione più forte imposta tramite un meccanismo di cooperazione integrato nel GDPR, come nelle precedenti decisioni contro Meta e Twitter.
Ciò suggerisce che il regolatore irlandese applica regolarmente il GDPR sulle piattaforme digitali più potenti e lo fa in un modo che crea ulteriori problemi per il funzionamento efficiente del regolamento poiché limita il processo di applicazione.
(Nel caso dei flussi di dati di Facebook, ad esempio, lo scorso agosto sono state sollevate obiezioni alla bozza di decisione del DPC, quindi ci sono voluti circa nove mesi per passare da quella bozza a una decisione finale e un ordine di sospensione ora.) E, beh, se stringi l'applicazione per un periodo sufficientemente lungo da consentire un tempo sufficiente affinché i pali della porta vengano spostati politicamente in modo che l'applicazione non debba mai effettivamente avvenire.
Il che, sebbene dimostrabilmente conveniente per i giganti della tecnologia di data mining come Meta, si fa beffe dei diritti fondamentali dei cittadini.
Come notato sopra, con la decisione odierna, il DPC sta effettivamente attuando una decisione vincolante presa dall'EDPB il mese scorso al fine di risolvere il disaccordo in corso sulla bozza di decisione dell'Irlanda: gran parte della sostanza di ciò che viene ordinato oggi su Meta proviene, non da Dublino , ma dall'organismo di vigilanza del blocco per i regolatori della privacy.
Ciò apparentemente include l'esistenza di una sanzione pecuniaria, dal momento che il Consiglio rileva di aver incaricato il DPC di modificare la sua bozza per includere una sanzione, scrivendo: Data la gravità dell'infrazione, l'EDPB ha ritenuto che il punto di partenza per il calcolo della sanzione deve essere compreso tra il 20% e il 100% del massimo legale applicabile.
L'EDPB ha inoltre incaricato l'IE DPA di ordinare a Meta IE di rendere le operazioni di elaborazione conformi al Capitolo V GDPR, cessando l'elaborazione illecita, inclusa la memorizzazione, negli Stati Uniti dei dati personali degli utenti europei trasferiti in violazione del GDPR, entro 6 mesi dopo la notifica della decisione finale dell'IE SA.
La sanzione legale massima applicabile che Meta può essere sanzionata ai sensi del GDPR è del 4% del suo fatturato annuo globale.
E poiché il suo fatturato per l'intero anno lo scorso anno è stato di $ 116,61 miliardi, il massimo che avrebbe potuto essere multato qui sarebbe stato di oltre $ 4 miliardi.
Quindi il regolatore irlandese ha deciso di multare Meta molto meno di quanto avrebbe potuto (ma comunque molto di più di quanto avrebbe voluto).
In ulteriori osservazioni pubbliche oggi, Schrems ha colpito ancora una volta l'approccio del DPC, accusando l'autorità di regolamentazione di lavorare essenzialmente per contrastare l'applicazione del GDPR.
“Ci sono voluti dieci anni di contenzioso contro il DPC irlandese per arrivare a questo risultato.
Abbiamo dovuto avviare tre procedimenti contro il DPC e rischiato milioni di spese processuali.
Il regolatore irlandese ha fatto di tutto per evitare questa decisione, ma è stato costantemente ribaltato dai tribunali e dalle istituzioni europee.
È un po' assurdo che la multa record vada all'Irlanda, lo Stato membro dell'UE che ha fatto di tutto per garantire che questa multa non venisse emessa", ha affermato.
Quindi cosa succederà dopo per Facebook in Europa? Niente subito.
La decisione prevede un periodo di transizione prima che debba sospendere i flussi di dati – di circa sei mesi – quindi il servizio continuerà a funzionare nel frattempo.
(Più specificamente, a Meta è stato concesso un periodo di transizione di cinque mesi per sospendere qualsiasi futuro trasferimento di dati personali negli Stati Uniti; e un termine di sei mesi per interrompere l'elaborazione e/o l'archiviazione illegale dei dati degli utenti europei che ha precedentemente trasferito senza un base giuridica valida.) Meta ha anche affermato che presenterà ricorso e sembra voler sospendere l'attuazione mentre riporta le sue argomentazioni in tribunale.
Schrems ha precedentemente suggerito che la società dovrà, in ultima analisi, federare l'infrastruttura di Facebook per poter offrire un servizio agli utenti europei che non richieda l'esportazione dei propri dati negli Stati Uniti per l'elaborazione.
Ma, a breve termine, Meta sembra essere in grado di evitare di dover sospendere i flussi di dati UE-USA poiché il periodo di transizione nella decisione odierna dovrebbe fargli guadagnare abbastanza tempo per l'adozione del suddetto accordo di trasferimento dati transatlantico.
Rapporti precedenti hanno suggerito che la Commissione europea potrebbe adottare il nuovo accordo sui dati UE-USA a luglio, sebbene abbia rifiutato di fornire una data per questo poiché afferma che più parti interessate sono coinvolte nel processo.
Una tale sequenza temporale significherebbe che Meta ottiene una nuova via di fuga per evitare di dover sospendere il servizio di Facebook nell'UE; e può continuare a fare affidamento su questo meccanismo di alto livello finché resiste.
Se è così che si svolgerà la prossima sezione di questa tortuosa saga di denuncia, significherà che un caso contro i trasferimenti illegali di dati di Facebook che risale a quasi dieci anni a questo punto sarà, ancora una volta, lasciato al vento – sollevando dubbi sul fatto che sia davvero possibile per gli europei esercitare i diritti legali previsti dal GDPR? (E, in effetti, se i giganti della tecnologia dalle tasche profonde, i cui ranghi sono pieni di avvocati e lobbisti ben pagati, possano essere regolamentati?) Allo stesso tempo, sono previste sfide legali al nuovo accordo di trasferimento transatlantico dei dati e Schrems dà il patto UE-USA una piccola possibilità di sopravvivere alla revisione legale.
Quindi Meta e altri giganti statunitensi i cui modelli di business dipendono dall'esportazione di dati per l'elaborazione oltre lo stagno potrebbero ritrovarsi abbastanza presto in questo ciclo di sventura.
"Meta prevede di fare affidamento sul nuovo accordo per i trasferimenti in futuro, ma questa probabilmente non è una soluzione permanente", ha suggerito Schrems.
“Secondo me, il New Deal ha forse il dieci percento di possibilità di non essere ucciso dalla CGUE.
A meno che le leggi sulla sorveglianza degli Stati Uniti non vengano corrette, Meta dovrà probabilmente mantenere i dati dell'UE nell'UE.
C'è anche la questione se Meta sarà ancora tenuta a cancellare i trasferimenti di dati storici, dal momento che non aveva alcuna base legale per questi trasferimenti.
Qualsiasi nuovo meccanismo transatlantico dovrebbe applicarsi solo ai futuri flussi di dati, non alle esportazioni passate.
Quindi questo potrebbe creare un mal di testa continuo per Meta.
Documenti interni trapelati hanno suggerito che mancano controlli adeguati sui suoi flussi di dati pubblicitari interni, il che potrebbe rendere il rispetto di un ordine di cancellazione selettiva dei dati degli europei un incubo costoso per il gigante adtech.
Meta supera le aspettative di entrate, rimane impegnato nel metaverso Come siamo arrivati qui? Come davvero.
Schrems ha agito sulla scia delle preoccupazioni sollevate nel 2013 dopo che l'informatore della NSA Edward Snowden ha rivelato come i programmi di sorveglianza del governo degli Stati Uniti stavano recuperando i dati degli utenti dai siti web dei social media (alias PRISM), tra una miriade di rivelazioni sull'entità della massa pratiche di sorveglianza in quelle che divennero note come le rivelazioni di Snowden.
Ciò è rilevante perché la legge europea sancisce la protezione dei dati personali che Schrems sospettava fossero messi a rischio dalle leggi statunitensi che danno priorità alla sicurezza nazionale e concedono alle agenzie di intelligence ampi poteri per spiare le informazioni degli utenti di Internet.
Le sue lamentele originali in realtà prendevano di mira un certo numero di giganti della tecnologia per la presunta conformità con i programmi di raccolta dati PRISM delle agenzie di intelligence statunitensi.
Ma nel luglio 2013 due dei reclami, contro Apple e Facebook, sono stati respinti dall'autorità irlandese per la protezione dei dati poiché ha accettato la loro registrazione con un regime di adeguatezza dei dati UE-USA che era in vigore all'epoca (Safe Harbor), sostenendo che si era sciolto qualsiasi preoccupazione basata sulla sorveglianza.
Schrems ha impugnato la decisione dell'autorità di regolamentazione dinanzi all'Alta corte irlandese, che ha fatto ricorso alla Corte di giustizia dell'UE (CGUE) e ciò ha portato, nell'ottobre 2015, alla corte suprema del blocco che ha annullato l'approdo sicuro dopo che i giudici avevano stabilito il trasferimento dei dati l'accordo non era sicuro, poiché non forniva l'equivalenza essenziale richiesta del regime di protezione dei dati dell'UE per le esportazioni di dati negli Stati Uniti.
Quella sentenza divenne nota come Schrems I.
(Resisti per Schrems II.) Un paio di mesi dopo che la CGUE aveva lanciato la sua notizia bomba, Schrems ha ripresentato la sua denuncia contro Facebook in Irlanda, chiedendo all'autorità per la protezione dei dati di sospendere l'accordo UE-USA di Facebook i dati fluiscono alla luce di quello che ha definito il giudizio "molto chiaro" sul rischio rappresentato dai programmi di sorveglianza del governo statunitense.
Allo stesso tempo, il rovesciamento di Safe Harbor aveva portato a una corsa da parte dei legislatori dell'UE e degli Stati Uniti per negoziare un accordo sostitutivo per il trasferimento dei dati, dal momento che non era solo Facebook ad essere coinvolto: migliaia di aziende sono state colpite dall'incertezza legale che oscurava i dati esportazioni.
E in un tempo straordinariamente breve le due parti hanno concordato e adottato (entro luglio 2016) lo scudo UE-USA per la privacy, poiché l'accordo di adeguatezza sostitutivo è stato (un po' sfortunatamente) battezzato.
Tuttavia, come si addice a un lavoro urgente, Privacy Shield è stato perseguitato fin dall'inizio dalla preoccupazione che fosse essenzialmente solo un cerotto in cima a uno scisma legale.
Nel consueto modo senza fronzoli, Schrems ha offerto una descrizione più viscerale, marchiandolo "rossetto su un maiale".
E, beh, per farla breve, la CGUE ha acconsentito, riducendo in mille pezzi lo Scudo, nel luglio 2020, in un altro sciopero storico sullo scontro centrale tra la legge sulla sorveglianza degli Stati Uniti e i diritti alla privacy dell'UE.
Il fatto è che Schrems non aveva effettivamente contestato direttamente il Privacy Shield.
Piuttosto, ha aggiornato la sua denuncia in Irlanda contro le esportazioni di dati di Facebook per mirare all'uso di un altro meccanismo di trasferimento dei dati di lunga data, noto come Contratti contrattuali standard (SCC), chiedendo alla DPA irlandese di sospendere l'uso di SCC da parte di Facebook.
Il cane da guardia irlandese ha nuovamente rifiutato di farlo.
Invece ha optato per l'equivalente di dire "tienimi la birra": scegliendo di andare in tribunale per contestare la legalità (generale) delle SCC, poiché ha affermato di essere ora preoccupato che l'intero meccanismo non fosse sicuro.
La contestazione legale della DPA contro le SCC ha sostanzialmente bloccato la denuncia di Schrems contro i flussi di dati di Facebook, mentre l'azione è passata alla valutazione dell'intero meccanismo di trasferimento dei dati.
Ma, ancora una volta, questa svolta legale ha finito per far saltare le porte, poiché l'Alta Corte irlandese ha continuato a chiedersi se lo stesso Privacy Shield fosse in buona fede in un nuovo rinvio alla CGUE (aprile 2018).
E, beh, dovreste sapere cosa viene dopo: un paio d'anni dopo la risposta dei massimi giudici del blocco è stata che questa seconda affermazione di adeguatezza era carente e quindi anche il meccanismo era ormai defunto.
Scudo per la privacy RIP.
(Un risultato sequenziale noto come Schrems II.) Ah, ma Facebook utilizzava SCC e non Privacy Shield per autorizzare questi trasferimenti di dati, ti sento piangere! Il fatto è che, sebbene la CGUE non abbia invalidato le SCC, i giudici hanno chiarito che laddove vengono utilizzate per esportare dati in un cosiddetto "paese terzo" (come gli Stati Uniti), le autorità di protezione dei dati dell'UE hanno il dovere di prestare attenzione a ciò che sta accadendo e, soprattutto, intervenire quando sospettano che i dati delle persone non siano adeguatamente protetti nel luogo a rischio…
Quindi il messaggio chiaro della CGUE era che l'applicazione deve avvenire.
Aggiungete a ciò, il fatto che il tribunale avesse invalidato il Privacy Shield per problemi di sicurezza derivanti dalle pratiche di sorveglianza degli Stati Uniti, era chiaro che il paese in cui Facebook raccoglie abitualmente i dati era contrassegnato come non sicuro.
Questo è un problema speciale per Facebook poiché il modello di business del gigante adtech statunitense dipende dall'accesso ai dati degli utenti, in modo che possa tracciare e profilare gli utenti Web per indirizzarli con annunci comportamentali, quindi il gigante tecnologico non era in grado di applicare extra salvaguardie (come la crittografia end-to-end) che potrebbero altrimenti essere in grado di aumentare il livello di protezione dei dati degli europei esportati negli Stati Uniti.
Il risultato di tutto ciò è stato che la questione era ora impossibile da ignorare per l'Irlanda – con l'adeguatezza dei dati degli Stati Uniti vaporizzata e il meccanismo alternativo su cui Facebook faceva affidamento sotto il controllo ordinato dalla CGUE – e così, in breve tempo (settembre 2020), le notizie sono trapelate al premere che il DPA irlandese aveva inviato al genitore di Facebook, Meta, un ordine preliminare per sospendere i flussi di dati.
Questo ha poi dato il via a una raffica di nuove sfide legali quando Meta ha ottenuto una sospensione dell'ordine e ha cercato di contestarlo in tribunale.
Ma questi cambiamenti legali previsti sono stati complicati da un'altra strana decisione dell'autorità di regolamentazione irlandese, che, in quel momento, ha scelto di aprire una seconda (nuova) procedura mettendo in pausa quella originale (ovvero la denuncia di lunga data di Schrems).
Schrems ha gridato al fallo, sospettando nuove tattiche dilatorie, e ha continuato a ottenere una revisione giudiziaria anche delle procedure della DPA, il che ha portato, nel gennaio 2021, la DPA irlandese ad accettare di finalizzare rapidamente la sua denuncia.
Nel maggio dello stesso anno i tribunali irlandesi hanno anche avviato il ricorso legale di Meta al DPC, revocando la sospensione della sua capacità di procedere con il processo decisionale.
Quindi l'Irlanda ora non aveva, ehm, scuse per non andare avanti con il compito di decidere sulla denuncia di Schrems.
Ciò ha riportato la saga sui binari standard di applicazione del GDPR, con il DPC che ha svolto le sue indagini per la maggior parte dell'anno per raggiungere una decisione preliminare rivista (febbraio 2022) che ha poi passato alle altre DPA dell'UE per la revisione.
Le obiezioni alla sua bozza di decisione sono state debitamente sollevate entro agosto 2022.
E le autorità dell'UE successivamente non sono riuscite a raggiungere un accordo tra loro, il che significa che è stato lasciato al Comitato europeo per la protezione dei dati (EDPB) prendere una decisione vincolante (aprile 2023).
Ciò ha quindi dato all'autorità di regolamentazione irlandese un termine rigido di un mese per produrre una decisione finale – l'attuazione della decisione vincolante dell'EDPB.
Il che significa che la sostanza di ciò che è stato deciso oggi non può essere attribuita a Dublino.
EU-US Data Privacy Framework come Meta via di fuga Nemmeno questo è tutto.
Come notato sopra, c'è un altro dettaglio saliente che sembra destinato a influenzare ciò che accadrà a breve termine con i flussi di dati di Meta (e potenzialmente portare a uno Schrems III nei prossimi anni): negli ultimi anni i legislatori dell'UE e degli Stati Uniti hanno tenuto colloqui volti a cercare di trovare un modo per rilanciare l'adeguatezza degli Stati Uniti a seguito del siluro del Privacy Shield da parte della CGUE, affermano, affrontando le preoccupazioni sollevate dai giudici.
Al momento in cui scriviamo, i lavori per mettere in atto questo accordo sostitutivo per il trasferimento dei dati sono ancora in corso, con l'adozione dell'accordo previsto il più possibile durante l'estate, ma il percorso per arrivare al nuovo accordo si è già dimostrato molto più impegnativo dell'ultima volta.
.
Nel marzo 2022 è stato annunciato un accordo politico sul già citato Data Privacy Framework (DPF) UE-USA; seguito, in ottobre, dalla firma di un ordine esecutivo da parte del presidente degli Stati Uniti Joe Biden; e, in dicembre, la Commissione ha annunciato un progetto di accordo sul quadro.
Ma, come notato sopra, il processo di adozione da parte dell'UE non è ancora stato completato, quindi non esiste ancora un quadro generale di alto livello su cui Meta possa ancorarsi.
Se/quando il DPF verrà adottato dall'UE, è una scommessa sicura che Meta si iscriverà e cercherà di usarlo come nuovo timbro per i suoi flussi di dati UE-USA.
Quindi questo è un percorso a breve termine per Facebook per evitare di dover agire sull'ordine di sospensione indipendentemente da ciò che accade con il suo ricorso legale.
(E, in effetti, il post sul blog dell'azienda oggi evidenzia le sue aspettative per il buon funzionamento nell'ambito del quadro in arrivo, con Meta che scrive: “Siamo lieti che il DPC abbia anche confermato nella sua decisione che non ci sarà alcuna sospensione dei trasferimenti o altre azioni richieste di Meta, come l'obbligo di cancellare i dati degli interessati dell'UE una volta risolto il conflitto di leggi sottostante.
Ciò significa che se il DPF entra in vigore prima della scadenza dei termini di attuazione, i nostri servizi possono continuare come fanno oggi senza alcuna interruzione o impatto sugli utenti.") Ma la legalità del DPF sarà quasi certamente messa in discussione (se non dallo stesso Schrems, ci sono molti gruppi per i diritti digitali che potrebbero voler entrare.) E, se ciò accade, è certamente possibile che La CGUE rileverà, ancora una volta, la mancanza delle necessarie garanzie, dato che non abbiamo visto riforme sostanziali della legge sulla sorveglianza degli Stati Uniti dall'ultima volta che si sono verificate, mentre varie preoccupazioni sono state sollevate dagli esperti di protezione dei dati sulla proposta rielaborata.
La Commissione afferma che le due parti hanno lavorato duramente per rispondere alle preoccupazioni della CGUE — indicando, ad esempio, l'inclusione di un nuovo linguaggio che suggeriscono limiterà l'attività delle agenzie di sorveglianza statunitensi (a ciò che è "necessità e proporzionalità"), insieme a una promessa di controllo rafforzato e, per i ricorsi individuali, un cosiddetto "Tribunale per il riesame della protezione dei dati".
Tuttavia, il rovescio della medaglia, gli esperti di protezione dei dati si chiedono se le spie statunitensi lavoreranno davvero alla stessa definizione di necessità e proporzionalità sostenuta dal diritto dell'UE, anche perché una certa raccolta di massa rimane possibile nell'ambito del quadro.
Hanno anche sostenuto che il risarcimento per gli individui sembra ancora difficile poiché le decisioni dell'organismo che viene inquadrato come un tribunale saranno segrete (né è strettamente indipendente dall'influenza politica come un vero tribunale legale, suggeriscono).
E, come abbiamo riferito, lo stesso Schrems rimane scettico.
"Non pensiamo che l'attuale quadro funzionerà", ha detto ai giornalisti in un recente briefing in vista del quinto anniversario dell'applicazione del GDPR.
"Pensiamo che tornerà alla Corte di giustizia e sarà un altro elemento che genera molta tensione tra i diversi livelli [dell'applicazione]".
Ha anche suggerito che un confronto tra l'ordine esecutivo firmato da Biden per il nuovo accordo e la precedente direttiva politica presidenziale, dal presidente Obama, che è stata rivista dalla Corte di giustizia quando hanno considerato la legalità del Privacy Shield, non mostra molto di cambiamento, suggerendo che sono "praticamente identici".
“Ci sono alcuni elementi nuovi nel nuovo ordine tecnico, anche alcuni miglioramenti.
Ma la maggior parte delle cose che circolano nei comunicati stampa e nei dibattiti pubblici, che sono nuove, in realtà non sono nuove.
Ma c'è già stato prima", ha anche affermato.
"Quindi spesso non capiamo davvero come dovrebbe cambiare molto, ma torneremo in tribunale il prossimo anno o due, e poi probabilmente arriveremo alla Corte di giustizia e avremo una terza decisione che o dicci che non è tutto bello e meraviglioso e che possiamo andare avanti o che rimarremo bloccati in questo più a lungo.
Quindi, mentre – se ascolti la musica d'atmosfera di alto livello – il quadro contiene revisioni sostanziali per correggere lo scisma legale.
Ma sapremo davvero se è vero solo se/quando la CGUE tornerà a intervenire tra qualche anno.
Ciò significa che è certamente possibile che l'adeguatezza UE-USA possa scollarsi nuovamente in un futuro non troppo lontano.
E ciò riaccenderebbe ancora una volta il problema del trasferimento dei dati di Facebook, grazie alla realtà invadente delle pratiche di sorveglianza degli Stati Uniti e all'ampia licenza concessa alle questioni di sicurezza nazionale sullo stagno che calpestano tutti i concetti stranieri (europei) di privacy e protezione dei dati.
Il requisito per l'adeguatezza dell'UE di equivalenza essenziale al regime di protezione dei dati del blocco rappresenta un punto fermo in cui un trucco non sarà in grado di rimanere per sempre.
(E, beh, la prospettiva che Donald Trump venga nuovamente eletto presidente degli Stati Uniti, nel 2024, aggiunge ulteriore precarietà ai calcoli di sopravvivenza del DPF.) Ma, beh, questa è una storia per i mesi e gli anni a venire.
Max Schrems sulla sentenza del tribunale dell'UE che potrebbe tagliare Facebook in due Il "collo di bottiglia" dell'applicazione del GDPR in Irlanda Tornando alla battaglia di quasi dieci anni di Schrems per una decisione sulla sua denuncia, come caso di studio sull'applicazione ritardata della protezione dei dati, questo è difficile da colpo.
In effetti, può rappresentare un record per quanto tempo un individuo ha aspettato (almeno se si ignorano tutti i reclami in cui non è stata intrapresa alcuna azione da parte dell'autorità di regolamentazione).
Ma è importante sottolineare che il record del DPC irlandese sull'applicazione del GDPR è oggetto di un attacco più generale rispetto alle fionde e alle frecce che ha ricevuto come risultato di questa saga di flussi di dati particolarmente tortuosa.
(Che anche Schrems suona come se gli piacerebbe vedere il retro a questo punto.) L'analisi su cinque anni del GDPR, pubblicata all'inizio di questo mese dall'Irish Council for Civil Liberties (ICCL), definisce la situazione di applicazione un "crisi" – avvertimento: "L'incapacità dell'Europa di far rispettare il GDPR espone tutti a gravi rischi nell'era digitale e indica il DPA irlandese come una delle principali cause di fallimento dell'applicazione contro Big Tech".
E l'ICCL punta il dito contro il DPC irlandese.
"L'Irlanda continua a essere il collo di bottiglia dell'applicazione: fornisce pochi progetti di decisione sui principali casi transfrontalieri e, quando alla fine lo fa, altri esecutori europei votano regolarmente a maggioranza per costringerla a intraprendere azioni di applicazione più severe", sostiene il rapporto.
prima di sottolineare che: "In modo univoco, il 75% delle decisioni di indagine sul GDPR dell'Irlanda nei principali casi dell'UE è stato annullato dal voto a maggioranza delle sue controparti europee all'EDPB, che richiedono un'azione di applicazione più severa".
L'ICCL sottolinea inoltre che quasi tutti (87%) i reclami transfrontalieri sul GDPR in Irlanda coinvolgono ripetutamente la stessa manciata di società Big Tech: Google, Meta (Facebook, Instagram, WhatsApp), Apple, TikTok e Microsoft.
Ma afferma che molte denunce contro questi giganti della tecnologia non ottengono nemmeno un'indagine completa, privando così le denunce della capacità di esercitare i propri diritti.
L'analisi sottolinea che il DPC irlandese sceglie la "risoluzione amichevole" per concludere la stragrande maggioranza (83%) dei reclami transfrontalieri che riceve (citando le statistiche dell'organo di controllo) – osservando inoltre: "Utilizzo della risoluzione amichevole per i recidivi, o per questioni che potrebbero avere un impatto su molte persone, viola le linee guida del comitato europeo per la protezione dei dati.
Il DPC è stato contattato per una risposta all'analisi, ma ha rifiutato di commentare.
L'ICCL ha chiesto alla Commissione di intervenire e affrontare la crisi dell'applicazione del GDPR, avvertendo: “L'imminente proposta della Commissione per migliorare il modo in cui le DPA cooperano può aiutare, ma è necessario molto di più per correggere l'applicazione del GDPR.
La responsabilità ultima di questa crisi ricade sul commissario europeo per la Giustizia, Didier Reynders.
Lo esortiamo a prendere provvedimenti seri”.
La decisione finale di oggi sui flussi di dati di Facebook in uscita dall'Irlanda, dopo quasi un decennio di esitazioni procedurali — che, non dimentichiamolo, finora ha reclamato gli scalpi di non uno ma due accordi di dati di alto livello UE-USA — non lo farà fare qualsiasi cosa per reprimere le critiche all'Irlanda come collo di bottiglia per l'applicazione del GDPR (a prescindere dalle utili fughe di notizie della scorsa settimana prima della decisione sui flussi di dati di Facebook di oggi (e in effetti oggi!), cercando di inquadrare una narrazione positiva per il regolatore con il discorso di un "record " multa ma nessuna menzione del ruolo dell'EDPB nel vincolare l'esecuzione).
In effetti, l'eredità duratura della saga dei flussi di dati di Facebook e di altre sottoapplicazioni del DPC faticosamente estratte contro gli abusi sistematici della privacy di Big Tech, è già scritta in grande nel ruolo di supervisione centralizzata di Big Tech che la Commissione si è assunta per i servizi digitali Act e Digital Markets Act — uno sviluppo che riconosce l'importanza di regolare il potere della piattaforma per garantire il futuro del progetto europeo.
Crediti immagine: rapporto ICCL: "5 anni: il punto di crisi del GDPR: rapporto ICCL sulle autorità per la protezione dei dati del SEE" Detto questo, l'autorità irlandese per la protezione dei dati ovviamente non può accettare tutte le miriadi di problemi di applicazione legati al GDPR.
La realtà è un mosaico di problemi che ostacolano un'applicazione efficace in tutto il blocco, come ci si potrebbe aspettare con una struttura di controllo decentralizzata che tenga conto delle differenze linguistiche e culturali tra i 27 Stati membri e delle opinioni divergenti su come affrontare al meglio il controllo in cima a concetti grandi (e molto personali) come privacy che può significare cose molto diverse per persone diverse.
L'organizzazione no profit per i diritti alla privacy di Schrems, noyb, ha raccolto informazioni su questo mosaico di problemi di applicazione del GDPR, che includono cose come la carenza di risorse delle agenzie più piccole e una generale mancanza di competenze interne per affrontare i problemi digitali; problemi di trasparenza e blackhole informativi per i denuncianti; questioni di cooperazione e barriere legali che ostacolano i reclami transfrontalieri; e ogni sorta di interpretazione "creativa" della "gestione" dei reclami – il che significa che non viene fatto nulla in merito a un reclamo rimane ancora un risultato comune – per citare solo alcuni dei problemi che ha incontrato.
“La realtà è che dobbiamo dire alle persone che in molti casi hai il diritto di lamentarti, ma è probabile che questo non ti aiuterà e non risolverà il tuo problema.
E questo è fondamentalmente un problema se diciamo di avere un diritto fondamentale alla privacy, e ci sono tutte queste autorità e noi versiamo milioni di euro in loro.
E la risposta che dobbiamo dare alle persone è dire che puoi provarci ma molto probabilmente non ti aiuterà – e questa è la mia più grande preoccupazione dopo cinque anni di GDPR che purtroppo è ancora la risposta che dobbiamo dare persone”, afferma Schrems.
Allo stesso tempo, l'Irlanda svolge un ruolo sovradimensionato nell'applicazione del GDPR su Big Tech – che a sua volta ha un impatto enorme sui diritti degli utenti web – il che significa che le decisioni che elabora e plasma (o, in effetti, sceglie di non prendere) hanno un impatto centinaia di milioni di consumatori europei.
Quindi il livello di controllo su Dublino è ben meritato.
Meta ha eluso una multa sulla privacy di 4 miliardi di euro per annunci illegali, sostiene che i deputati al GDPR sollevano preoccupazioni per la bozza di accordo di trasferimento dati UE-USA Meta ha ordinato di sospendere i flussi di dati di Facebook nell'UE poiché è stata colpita da una multa record di 1,2 miliardi di euro sulla privacy ai sensi del GDPR di Natasha Lomas originariamente pubblicata su TechCrunch