Condanna di Meta al pagamento di una sanzione di 1.2 miliardi di Euro per illecito trasferimento di dati personali

L’Autorità nazionale per la protezione dei dati personali irlandese (Data protection commission) ha condannato Meta Platforms Ireland Limited, società cui fanno capo le piattaforme social Facebook e Instagram, al pagamento di una sanzione amministrativa di 1.2 miliardi di Euro per aver trasferito dati personali appartenenti ad utenti europei negli Stati Uniti in violazione del Regolamento Generale per la protezione dei dati (GDPR).

Il GDPR attribuisce alle Autorità nazionali di controllo (in Italia il Garante della Privacy) il compito di sorvegliare e assicurare l’applicazione del Regolamento, nonché il potere di infliggere sanzioni amministrative pecuniarie, a fronte dell’accertata violazione delle norme poste a tutela della riservatezza degli interessati da parte di titolari e responsabili del trattamento. In particolare, l’art. 83 GDPR distingue due gruppi di violazioni: (i) le violazioni di minore e (ii) le violazioni di maggiore gravità. Le prime (i) derivano dalla violazione degli obblighi imposti al titolare e al responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43 GDPR, soggette a sanzioni amministrative pecuniarie fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Le seconde (ii) dipendono dalla violazione dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli artt. 5, 6, 7 e 9 GDPR, dei diritti degli interessati a norma degli articoli da 12 a 22, dei trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49, di un qualsiasi obbligo ai sensi delle legislazioni nazionali degli Stati membri, nonché di un ordine dell'autorità di controllo, soggette a sanzioni amministrative pecuniarie fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Inoltre, la norma impone all’Autorità di controllo di tenere in considerazione, al momento di fissare l’ammontare della sanzione, una serie di elementi, tra cui la natura, la gravità e la durata della violazione, l'oggetto o a finalità del trattamento, nonché il numero di interessati lesi dalla violazione e l’entità del danno da essi subito. Infine, la sanzione irrogata deve essere effettiva, proporzionata e dissuasiva.

L’Autorità di controllo irlandese ha ritenuto che la legge statunitense in materia di privacy non garantisca un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto dalla normativa europea. Per questo motivo, Meta, trasferendo dati personali di utenti europei negli Stati Uniti, è stata ritenuta responsabile della violazione dell’art. 46, comma 1 GDPR, che per l’appunto detta le condizioni in forza delle quali i dati personali possano essere trasferiti verso un paese terzo o un’organizzazione internazionale. La sanzione amministrativa irrogata è la più alta di sempre ed è stata giustificata dalla gravità della violazione commessa da Meta: i trasferimenti sono stati sistematici, ripetitivi e continui ed hanno riguardato un volume ingente di dati personali, in ragione dei milioni di utenti che le piattaforme social Facebook e Instagram hanno in Europa.

L’Autorità di controllo irlandese ha inoltre imposto a Meta di rendere le future operazioni conformi al Capitolo V del GDPR, cessando l’illecito trattamento dei dati personali, inclusa la memorizzazione negli Stati Uniti dei dati degli utenti europei.

La decisione, oltre ad aver ricevuto un’enorme attenzione mediatica in ragione della rinomanza dei soggetti coinvolti, rappresenta un forte segnale per le organizzazioni internazionali che trattano i dati personali di numerosi cittadini europei.