Una multa da 1,2 miliardi di euro si abbatte su Meta per violazione del Gdpr, la General Data Protection Regulation. Questo ha deciso il Data Protection Commissioner (Dpc) irlandese al termine di un’indagine sulle pratiche di trattamento e trasferimento dati dell’azienda di Mark Zuckerberg. Colpevole, a detta dell’autorità di tutela della privacy, di aver continuato a trasferire i dati degli utenti europei di Facebook dal Vecchio Continente agli Stati Uniti anche dopo che, nel 2020, una sentenza di tribunale aveva dichiarato illegale tale pratica. Si tratta della (ben nota) causa avviata contro Facebook dall’avvocato e attivista austriaco Maximillian Schrems.
L’indiscrezione sulla sanzione in arrivo era circolata nei giorni scorsi ed è arrivata ora la comunicazione ufficiale del Dpc. La cifra di 1,2 miliardi di euro segna un nuovo record tra le multe inflitte in Europa per violazioni del Gdpr, dopo i 746 millioni di euro richiesti ad Amazon nel 2021. Il regolamento prevede sanzioni per un massimo del 4% del giro d’affari annuo dell’azienda che abbia compiuto violazioni gravi.
Scrive il Dpc che Meta Ireland ha “continuato a trasferire dati personali dall’Unione Europea/eurozona agli Stati Uniti”, anche in seguito alla sentenza del caso Schrems. L’azienda ha agito “sulla base delle Clausole Commerciali Standard adottate dalla Commissioni Europea nel 2021, insieme a misure supplementari implementate da Meta Ireland, ma il Dpc ha rilevato che questi accordi non affrontavano i rischi per i diritti fondamentali e le libertà dei titolari dei dati”.
(Immagine di jannoon028 su Freepik)
Insieme al pagamento della sanzione, l’autorità di tutela della privacy ha ordinato, sulla base dell’Articolo 58 del Gdpr, che la società smetta di trasferire dati personali dall’Ue agli Stati Uniti entro cinque mesi dalla notifica della decisione. Inoltre, sempre sulla base dell’Articolo 58, dovrà entro sei mesi interrompere ogni attività di trattamento dei dati trasferiti illegalmente, archiviazione inclusa.
Meta ha fatto sapere di voler ricorrere in appello per cancellare una “multa ingiustificata e non necessaria”, che traccia “un precedente pericoloso per innumerevoli altre aziende”. Per l’azienda di Menlo Park questa è la terza sanzione scagliata dall’autorità irlandese per violazioni del Gdpr: l’anno scorso ha ricevuto l’ordine di pagare 17 milioni di euro per mancata protezione dei dati degli utenti e 265 milioni di euro per lo scraping e l’esposizione online di dati di Facebook.