Meta aveva già avvisato in passato della possibilità di interrompere alcune delle proprie attività nell’Unione Europea, a causa delle controversie sulla data protection tra USA-UE. Ora lo ribadisce, in un documento ufficiale alle autorità USA (c.d. regulatory filing, dovuto per legge), come a voler “spingere” i politici statunitensi a un pronto intervento, richiesto da una delle società tecnologiche più potenti del mondo.
Davvero Meta sta ora “minacciando” di far sparire i propri social per gli utenti europei? Capire che cosa c’è esattamente in ballo in questa vicenda non è banale, vediamo di farlo seguendo i vari passaggi e vicende che ci hanno portato fin qui.
Da Schrems II alla ricerca di un Privacy Shield II
Non possiamo ripercorrere qui tutta la vicenda, oramai notissima, della sentenza della Corte di Giustizia (c.d. “Schrems II”) del luglio 2020 e che ha portato ad invalidare lo strumento per eccellenza nei trasferimenti di dati personali tra UE e USA: ai sensi del GDPR devono essere di un certo livello quanto al rispetto dei diritti degli interessati nei Paesi di esportazione dei dati.
Difatti vigeva il c.d. Privacy Shield, un accordo internazionale che permetteva, entro certi limiti e procedure, di considerare adeguati – e dunque leciti e dunque praticabili – i trasferimenti o gli accessi ai dati personali europei da parte di entità giuridiche di diritto statunitense.
Ritenuto dalla Corte di Giustizia insufficiente per il suo scopo e dichiarato invalido, si è aperta una voragine, meglio ancora un “vortice” potremmo dire e che sta “risucchiando” man mano nel suo centro tutte le attività svolte con provider (soprattutto) statunitensi.
Voragine dovuta all’assenza di un’alternativa adeguata a sostituire quello strumento di trasferimento, come più volte asseverato dalle autorità europee in varie pronunce e anche in sede congiunta tramite l’EDPB con le proprie Raccomandazioni 1/2020 circa i trasferimenti extra-UE. Raccomandazioni da cui è emerso che il meccanismo alternativo più usato (le c.d. clausole standard) è insufficiente ed eventuali misure supplementari che compensino le mancanze sono necessarie. Alla data odierna, nessuno pare ancora averne trovate di adeguate, soprattutto tecniche.
Anzi, non passa giorno senza una notizia dell’ennesima violazione perfezionata dai maggiori fornitori americani e riconosciuta dalle autorità anche a causa del dilemma trasferimenti: da Microsoft a Google è solo questione di tempo, considerato che i loro servizi si nutrono immancabilmente di dati personali e che per gli operatori dell’Unione si è creata una situazione di mercato (forse dovuta anche all’insufficiente operato delle autorità Antitrust europee) ove è arduo trovare soluzioni alternative comparabili e di diversa giurisdizione.
Meta Platforms Inc., la società con sede a Menlo Park, tramite i propri social media Facebook e Instagram raccoglie, genera e utilizzare i dati personali in maniera talmente massiva da essere finita più volte sotto la lente dei controllori.
Non può esimersi, visto che nonostante le proprie diverse società con sedi europee, in ogni caso resta la società californiana capogruppo e controllare a decidere sui servizi più importanti, ben potendo avere accesso ai dati gestiti in Europa e spesso trasferiti negli Stati Uniti.
Al momento non si hanno novità per un sostituto “politico” del Privacy Shield: in marzo i rappresentanti di UE e USA hanno annunciato negoziazioni di un trovato accordo, diciamo per ora a livello di mere intenzioni di massima, quale successore del Privacy Shield.
L’accordo andrebbe così a ricostruire il ponte di circolazione dei dati tra le due sponde dell’Atlantico. Pare si tratterà di un approccio impostato sulla gradualità e sulla valutazione ad hoc dei trasferimenti, dato atto che né gli USA né l’Unione hanno intenzione di cambiare le proprie contrastanti normative.
Detto questo, a oggi non si hanno avuti altri aggiornamenti di rilievo, né tantomeno è circolato un testo di bozza o qualcosa di più concreto rispetto alle dichiarazioni di marzo. Insomma, potrebbero passare ancora diversi mesi solo per avere il testo in bozza, senza parlare dell’arrivare alla sua versione definitiva, condivisa e vigente.
Meta e le forche caudine del GDPR: l’indagine del Garante irlandese
La pressione per Meta sta aumentando soprattutto per un altro motivo, non menzionato direttamente ma facilmente collegabile: l’autorità di controllo privacy irlandese Data Protection Commission – ove la società europea di Meta ha sede e ne rappresenta lo stabilimento principale in area SEE – da mesi sta lavorando a una decisione che potrebbe avere effetti dirompenti per l’attività svolta tramite Facebook e Instagram.
Fra pochi mesi la decisione – che già circola riservatamente in versione bozza tra le autorità – potrebbe essere pubblicata e sancire lo stop a determinati utilizzi dei dati personali europei da parte di Meta.
Il caso è stato generato proprio da Max Schrems che ha presentato nel 2018 il reclamo di partenza del procedimento e che sta monitorando attentamente, tramite la sua NOYB, quel che accade, dando pubblici aggiornamenti sui vari step della decisione.
La bozza è circolata a inizio luglio tra le autorità di controllo – visto che si tratta di una decisione che coinvolge ben 26 Paesi dell’UE con l’Irlanda a fare da capofila, una procedura che si può rinvenire all’art. 60 GDPR – che dovranno valutarla ed eventualmente obiettarvi, con possibile ricorso all’EDPB come arbitro finale (ex art. 62 GDPR). In ogni caso, alla fine potrebbe portare a un blocco dei trasferimenti dei dati tra UE e USA, come praticato da Meta.
Citiamo da ultimo che Meta era già stata colpita nel 2021 da un altro provvedimento emanato dall’autorità irlandese ove si è analizzata e censurata la trasparenza e l’informazione dei servizi di Whatsapp (di proprietà di Meta), con una sanzione di ben 225 milioni di euro.
L’aspetto dei trasferimenti era stato in tale frangente solo menzionato, quanto alla trasparenza, non era stato affrontato circa la base di trasferimento dei dati.
Le affermazioni di Meta nel regulatory filing USA
Arriviamo così a comprendere meglio quanto riportato in luglio nel recente regulatory filing da parte di Meta. Anzitutto non si tratta di un fulmine e ciel sereno. E non si tratta di dichiarazioni da ufficio stampa, bensì di articolate argomentazioni contenute in documenti di analisi generale destinati alle autorità americane in forza delle normative USA.
Già in febbraio Meta aveva fatto presente le stesse valutazioni in documenti resi noti in un SEC filing, dovuto alla Securities and Exchange Commission, l’ente federale statunitense preposto alla vigilanza della borsa valori. Come afferma Meta stessa, “come tutte le società quotate, siamo legalmente obbligati a rivelare i rischi materiali ai nostri investitori e abbiamo esposto gli ultimi sviluppi sui trasferimenti di dati in tutte le nostre più recenti dichiarazioni sui nostri utili”.
Ma non solo: Meta (ex-Facebook) ripete simili allarmi da anni nei vari regulatory filing dovuti alle autorità di controllo e non è la sola società USA a farlo. D’altronde è inevitabile: lo scenario vale per tutti i provider statunitensi. Così come per tutti tali provider è troppo importante il mercato dell’Unione per poter considerare seriamente, davvero, di abbandonarlo. Tantomeno per “ritorsione” rispetto a quanto sta accadendo, precisando che Meta mai ha dichiarato qualcosa che facesse pensare a un atteggiamento “minaccioso” di questo tipo.
Al più si potrebbe parlare di calcolo economico: se Meta si trovasse colpita da sanzioni importanti, quanto a fatturato globale (ricordiamo che in forza del GDPR si possono toccare punte fino al 4%), potrebbe considerare anti-economico procedere – almeno fino all’arrivo dell’agognatissimo Privacy Shield II – con alcuni dei propri servizi (viene da pensare soprattutto a quelli per gli inserzionisti, più che per gli utenti che comunque ne sono il cuore).
Il maggior timore deriverebbe da un probabile provvedimento di sospensione nel trattamento dei dati europei, amputando di fonti fondamentali i servizi di Meta.
Non solo, la decisione irlandese potrebbe rivolgersi anche ai trattamenti pregressi, a far data almeno dalla citata sentenza Schrems II, di fatto paralizzando l’attività europea di Meta.
Si tratta di scenari pericolosi per Meta, vedendosi costretta – in ultima analisi – a rivedere pesantemente le proprie attività per renderle compliant e poter continuare in Europa, ammesso che ciò sia compatibile e realizzabile con il business model della società.
In definitiva, l’incertezza politica pare la maggiore ansia di Meta – quando arriverà l’accordo con l’UE? –, stretta nella mora di una imminente scure sanzionatoria e inibitoria dell’autorità irlandese, con annesse gravi perdite economiche.
E le conseguenze sarebbero estese: non parliamo solamente dei finanziatori o lavoratori di Meta, pensiamo ai tanti inserzionisti, imprese e operatori dell’UE che basano molto o tutto il proprio business sull’attività di Meta. Basti pensare ai servizi di digital marketing.
Conclusioni
Ergo: nulla di nuovo sotto il sole, nel contesto sopra delineato si può però leggere il recente filing come un ulteriore, ennesimo grido di “aiuto” che Meta sta rivolgendo alla politica statunitense affinché getti rapidamente un salvagente alle imprese americane. Soprattutto a Meta che a breve – comunque prima dell’accordo sui trasferimenti – potrebbe subire gravi conseguenze per il temuto provvedimento irlandese.
E stante peraltro una situazione complessiva e di borsa non certo florida per Meta (ad es. in febbraio aveva perso, per la prima volta nella sua storia, più di un quarto del suo valore, e in un giorno), l’impressione è che la società non abbia nessuna intenzione di lasciare i nostri mercati (e dati!), bensì al più di voler richiamare lobbysticamente l’attenzione del governo USA, di Biden – certamente occupato in questioni geopolitiche tra le più allarmanti – su questo scenario.
Non solo Meta aspetta il Privacy Shield II ma ne è certamente una delle più accese sostenitrici.