Non era mai successo: l’Unione Europea ha sanzionato sé stessa per violazioni del Gdpr, il regolamento sulla protezione dei dati personali valido in tutto il territorio Ue. Più precisamente, segnando un precedente storico, il Tribunale dell'Unione Europea ha chiesto alla Commissione Europea la somma simbolica di 400 euro, da corrispondere come risarcimento danni a un cittadino tedesco i cui dati sono stati trasferiti verso gli Stati Uniti senza chiedere il suo consenso.
I fatti risalgono a qualche anno fa. Nel 2021 l’utente, tale Thomas Bindl, residente a Monaco, aveva visitato più volte il sito Web della Commissione Europea e questa attività, a suo dire, avrebbe comportato l’invio di dati verso gli Stati Uniti. L’utente aveva notato durante la navigazione, la comparsa di una connessione ad Amazon CloudFront, il content delivery network di Aws. Di conseguenza l''uomo aveva richiesto spiegazioni alla Commissione Europea, per poi avviare l’azione legale.
Inoltre nel 2022 Bindl si era registrato sul sito della Commissione Europea per poter seguire una conferenza, sfruttando l’opzione “Sign in with Facebook” per eseguire il login. Il suo indirizzo IP e metadati del browser erano stati trasmessi a Meta, l’azienda titolare del social network.
Il cittadino tedesco pretendeva dalla Commissione Europea di annullare l’ormai avvenuto trasferimento dei propri di dati verso gli Stati Uniti, e inoltre chiedeva un risarcimento di 400 euro per il danno non materiale subìto. Il Tribunale ha confutato il fatto che, tramite Amazon CloudFront, i dati di Bindl siano finiti oltreoceano: sono stati, invece, gestiti da Aws all’interno di data center europei. La corte ha invece verificato che sì, effettivamente, con il login tramite Facebook utilizzato per registrarsi alla conferenza, “la Commissione ha creato la condizioni per il trasferimento del suo indirizzo IP a Facebook”. In tutto questo è interessante sottolineare che, come scrive il Tribunale, “l’indirizzo IP rappresenta un dato personale” e dunque rientra nelle tutele del Gdpr.
Se la somma di 400 euro è irrisoria rispetto alle multe milionarie o miliardarie solitamente richieste alle Big Tech, l’episodio è però non solo curioso, ma degno di nota. Da un lato mostra come sia facile, anche in buona fede, violare un regolamento come il General Data Protection Regulation in un mondo dove le piattaforme tecnologiche sono sempre più interconnesse. Il caso segna anche un precedente che apre la porta a future contestazioni, anche per la Commissione Europea e per altri soggetti istituzionali abituati di solito a bacchettare e non a essere bacchettati.