Consulenza legale per ecommerce con un Team di avvocati esperti in privacy e diritto digitale, dal 2011.

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Facebook è diventato illegale? Facciamo chiarezza (con una possibile soluzione)

25/05/2023

Facebook è diventato illegale? Facciamo chiarezza (con una possibile soluzione)



In questi giorni avrai molto probabilmente letto della condanna inflitta a Meta per violazione del GDPR. Vediamo di fare chiarezza e di scoprire come LegalBlink intende supportare i suoi utenti e le web agency per poter continuare a utilizzare, lecitamente, Facebook.

La multa, da 1,2 miliardi di euro, inflitta da parte dell'autorità irlandese per la protezione dei dati solleva importanti questioni riguardo alla gestione dei trasferimenti di dati da parte delle aziende, anche siti ecommerce.

 



SOMMARIO


Le origini di questa vicenda
Cosa ha contestato l'Autorità irlandese con riferimento all'uso del pixel di Facebook
Le modifiche organizzative
Cosa pensano le altre Autorità
La decisione riguarda solo Facebook
La risposta di Meta 
Cosa devono fare le aziende e i siti web
La soluzione di LegalBlink

 

Le origini di questa vicenda


 

Tutto ha avuto origine nel 2013, quando Edward Snowden ha rivelato documenti segreti che evidenziavano un vasto sistema di sorveglianza di massa implementato dall'NSA (National Security Agency) statunitense, che coinvolgeva anche società come Microsoft, Apple, Meta e altre.

Successivamente, il noto avvocato austriaco Max Schrems ha intentato una causa contro Meta (all'epoca ancora Facebook) per la mancata protezione dei dati personali.

Questa denuncia ha dato inizio alla prima battaglia legale sul trasferimento dei dati degli utenti verso gli Stati Uniti, dove la legislazione consente un accesso più ampio da parte dei servizi segreti rispetto a quanto previsto dal GDPR.

Il Garante per la protezione dei dati irlandese, che in passato è stato oggetto di polemiche e di tre procedimenti giudiziari per la sua inazione nei confronti di Meta, ha emesso una sanzione molto severa imponendo anche modifiche organizzative all'azienda.

Nel calcolare l'entità della sanzione, il Garante si è basato sulla decisione vincolante 1/2023 dell'EDPB, che fornisce le linee guida per quantificare le sanzioni.

Questa sanzione di 1,2 miliardi di euro è la più elevata mai comminata, superando anche quella inflitta nel 2021 dal Garante del Lussemburgo ad Amazon per un importo di 746 milioni di euro.


 

Cosa ha contestato l'Autorità irlandese con riferimento all'uso del pixel di Facebook



La commissione irlandese ha rilevato gravi lacune nelle misure di sicurezza adottate da Meta, sia a livello organizzativo che tecnico.

Nonostante avesse implementato politiche per la divulgazione dei dati, protezione durante la trasmissione e sui laptop di Facebook, queste misure sono state considerate insufficienti. Non sono state in grado di correggere le lacune intrinseche del sistema legale statunitense o di garantire una protezione adeguata, in linea con la normativa dell'UE, contro i poteri estesi del governo statunitense in base alle richieste della Sezione 702 FISA DOWNSTREAM (PRISM).

In effetti, secondo l'autorità per la protezione dei dati, Meta US deve divulgare i dati personali degli utenti se richiesto dal governo statunitense in base alla Sezione 702 FISA.

Questo crea una contraddizione: mentre le raccomandazioni dell'EDPB sulle misure supplementari sostengono un approccio basato sul rischio, la decisione respinge le affermazioni di Meta sulle limitate richieste del governo statunitense, basandosi sull'interpretazione della Corte di Giustizia dell'Unione Europea che non impone restrizioni ai poteri della Sezione 702 FISA.

L'autorità per la protezione dei dati sembra ritenere che, essendo Meta identificata come un fornitore di servizi di comunicazione elettronica in base alla Sezione 702/PRISM, nessuna misura contrattuale, tecnica o organizzativa, per quanto robusta possa essere, possa risolvere completamente le carenze della legge statunitense. Questo approccio è basato sul fatto che, in caso di richiesta legittima del governo in base alla legge 702, Meta sarebbe legalmente obbligata a divulgare i dati personali degli utenti.

La decisione stabilisce anche che le raccomandazioni dell'EDPB sulle misure supplementari non escludono l'approccio basato sul rischio, ma non convalida esplicitamente questa valutazione.

 

Le modifiche organizzative che dovra implementare Meta


 

Il provvedimento del Garante irlandere prevede non solo una sanzione amministrativa, ma anche disposizioni organizzative che Meta dovrà rispettare. In particolare:

 

  • Meta sarà tenuta a interrompere il trasferimento dei dati entro i tempi stabiliti nell'ordinanza di sospensione.
  • Entro sei mesi dalla notifica del provvedimento, Meta dovrà cessare il trattamento illecito dei dati, compresa la memorizzazione negli Stati Uniti dei dati degli utenti europei.
  • Concretamente, Meta dovrà eliminare tutti i dati degli utenti europei che ha trasferito negli Stati Uniti e riportarli nell'Unione Europea. Entro sei mesi, le operazioni di trattamento dati di Meta dovranno essere conformi al GDPR.



Meta ha già annunciato l'intenzione di presentare un ricorso, ma è probabile che l'esito più raggiungibile sia una riduzione della sanzione e una sospensione del divieto.

Tuttavia, è difficile che la decisione del Garante irlandese possa essere completamente ribaltata. Ciò è dovuto al fatto che la Corte di Giustizia dell'Unione Europea ha già stabilito in precedenza che non esistono basi giuridiche che possano legittimare i trasferimenti di dati negli Stati Uniti, nemmeno attraverso le clausole contrattuali standard utilizzate da Meta.

Infatti, tali clausole non offrono protezioni e garanzie sufficienti per quanto riguarda l'accesso ai dati da parte delle agenzie di sorveglianza statunitensi.


 

Cosa pensano le altre Autorità
 


Ad oggi il Garante Privacy non si è espresso in merito all'uso del pixel di Facebook.

La decisione è stata comuqnue approvata dalle altre autorità per la protezione dei dati nell'ambito della procedura di coerenza. Pertanto, ci si aspetta che altre autorità di regolamentazione dei dati nell'UE seguano un parere simile.


Facebook multata

 

La decisione riguarda solo Facebook


 

Vale la pena precisare che l'attuale decisione riguarda esclusivamente Facebook, non altri servizi della società, come Instagram o WhatsApp.
 

 

La risposta di Facebook



Meta ha risposto in modo dettagliato affermando, tra le altre cose:


"Meta utilizza gli stessi meccanismi legali adottati da altre organizzazioni. In ultima analisi, l'invalidazione del Privacy Shield nel 2020 è stata causata da un conflitto fondamentale tra le leggi governative degli Stati Uniti sull'accesso ai dati e i diritti alla privacy degli europei. È un conflitto che né Meta né qualsiasi altra azienda potrebbe risolvere autonomamente. Siamo pertanto delusi che siamo stati oggetto dello stesso meccanismo legale utilizzato da migliaia di altre aziende che cercano di offrire servizi in Europa".

 

Quindi come dovrebbero le aziende e i siti web gestire i trasferimenti di dati dopo la decisione contro Meta?



Le aziende si trovano in una situazione complessa.

La transizione verso un'infrastruttura tecnica completamente basata nell'UE, senza accesso a dati provenienti da fuori dello Spazio economico europeo, comporterebbe costi elevati e in alcuni casi potrebbero mancare alternative valide ai fornitori statunitensi. È probabile che venga adottata una decisione di adeguatezza per i trasferimenti di dati verso gli Stati Uniti, ma il rischio di un'ulteriore evoluzione dopo il caso Meta, simile a quanto accaduto con il caso Schrems, è significativo.

La DPC non ha escluso completamente la possibilità di adottare un approccio basato sul rischio e, anche se ciò dovesse accadere, la valutazione del rischio rimane un elemento chiave per la conformità alla protezione dei dati. Pertanto, in caso di controversia legale, le aziende e i siti ecommerce avrebbero validi argomenti per difendere la propria posizione.

In questa situazione, l'esecuzione di una valutazione dell'impatto del trasferimento (TIA) utilizzando una metodologia ampiamente riconosciuta basata sul rischio rappresenta l'unica opzione praticabile.


pixel di Facebook illegale

 

La soluzione di LegalBlink

 

Per affrontare questa situazione e fornire una soluzione pratica, gli avvocati esperti in privacy di LegalBlink stanno lavorando per introdurre un nuovo template dedicato alla valutazione di impatto.

Grazie a questa importante novità, i titolari dei siti web e le Web Agency potranno generare facilmente una valutazione di impatto personalizzata, focalizzata specificamente sul trasferimento dei dati personali degli utenti del sito all'estero.

Il documento risultante potrà essere conservato per essere esaminato dalle autorità competenti, come il Garante della privacy.

Questa soluzione offre numerosi benefici senza comportare alcun aumento di costo per i pacchetti di LegalBlink.

Innanzitutto, semplifica il processo di conformità alle normative sulla protezione dei dati, fornendo un framework strutturato per valutare l'impatto dei trasferimenti di dati.

Inoltre, consente ai titolari dei siti web e alle Web Agency di dimostrare di aver adottato misure adeguate per proteggere la privacy degli utenti e di essere proattivi nel garantire la conformità normativa.

La possibilità di generare una valutazione di impatto specifica per i trasferimenti di dati personali all'estero rappresenta un passo importante verso una gestione efficace e trasparente della protezione dei dati.

LegalBlink si impegna a fornire strumenti e risorse che aiutino le aziende e i siti web a conformarsi alle normative vigenti, facilitando al contempo il processo di gestione dei trasferimenti di dati in modo efficiente e accessibile.

A breve ulteriori aggiornamenti su questo tema!

Team LegalBlink