Oggi continuiamo ad analizzare la pressione della società Meta verso le autorità europee, facendo finta di minacciare la chiusura in Europa di Facebook e Instagram.
Ne parliamo con l’avv. Alessandro del Ninno, partner IT dello studio legale Tonucci & Partners nonché docente di Informatica Giuridica alla LUISS Guido Carli di Roma.
Key4biz. Cosa sta succedendo?
Alessandro del Ninno. In realtà Meta ha voluto smuovere politicamente le acque, affermando nel suo rapporto annuale alla Securities and Exchange Commission – SEC (una sorta di CONSOB a stelle e strisce, l’agenzia indipendente che monitora l’andamento del mercato e vigila sulla Borsa), e con riferimento alle leggi europee che “stabiliscono se, come e in quali circostanze possiamo trasferire, elaborare e/o ricevere determinati dati che sono fondamentali per le nostre operazioni”, che questo quadro regolatorio “potrebbe influenzare la nostra capacità di fornire i nostri servizi, il modo in cui forniamo i nostri servizi o la nostra capacità di indirizzare gli annunci, il che potrebbe influire negativamente i nostri risultati finanziari”.
Key4biz. Un attacco al GDPR e alle stringenti prescrizioni sul trasferimento da UE a USA dei dati personali degli utenti di Facebook e Instagram?
Alessandro del Ninno. Non solo. Intanto, va ricordato il “limbo” regolatorio in cui si trova la tematica del trasferimento dei dati personali dalla UE verso gli USA dopo che il 16 Luglio 2020 la Corte di Giustizia UE, con la nota sentenza Schrems II, ha invalidato l’accordo internazionale detto dello “Scudo Privacy” sul quale si basava il trasferimento dei dati personali dalla UE verso gli USA. A quel punto Meta (che allora si chiamava Facebook Inc.) ha cominciato a trasferire in USA i dati degli utenti europei dei suoi social basandosi sulle (vecchie) clausole contrattuali standard (le SCC stabilite dalla Commissione UE nel 2004 e nel 2010 per recuperare mediante accordi contrattuali tra esportatore UE e importatore extra-UE garanzie non presenti nell’ordinamento dello Stato terzo di destinazione dei dati). Ma nell’agosto del 2020 il Garante privacy irlandese (competente per la presenza in quel Paese della sede europea di Facebook) ha notificato a Facebook Inc. una decisione preliminare in cui si è ritenuto che il trasferimento negli USA non può avvenire nemmeno sulla base delle clausole contrattuali standard e va addirittura sospeso (la decisione finale è attesa entro la prima metà di quest’anno).
Key4biz. Neanche le nuove SCC del 2021 possono basare un lecito trasferimento, nell’attesa di un nuovo accordo politico UE-USA sul trasferimento dei dati?
Alessandro del Ninno. Come è noto la Commissione UE, con la Decisione del 4 Giugno 2021, n. 914, ha adottato le nuove clausole standard che in un certo senso “recepiscono” la sentenza Schrems II e cercano di superare le criticità ivi evidenziate, includendo altresì quelle “garanzie supplementari” per il trasferimento che lo stesso Comitato Europeo per la protezione dei dati personali (EDPB) aveva ritenuto necessarie e imprescindibili nelle sue Raccomandazioni post sentenza (la 1 e la 2 del 2020). Io credo tuttavia che l’ostacolo vero ai trasferimenti dei dati verso gli USA – non superabile nemmeno mediante le nuove SCC – sia il quadro giuridico americano applicabile ai fornitori di servizi di comunicazione elettronica (definiti dall’articolo 50 U.S. Code § 1881), come Meta, che non potrebbe opporre clausole contrattuali privatistiche alle potenziali richieste da parte delle autorità o dei tribunali statunitensi, nel contesto dei programmi di sorveglianza, secondo le disposizioni della sezione 702 della FISA e dell’EO 12333 (che impone ai fornitori di servizi di comunicazione elettronica statunitensi precisi obblighi di cooperazione e di consentire accesso ai dati). Questo è il punto, anche tenendo presente che una azienda americana con sede negli USA è sempre soggetta alle norme americane indipendentemente dal luogo in cui sono ubicati i server (si veda ad esempio lo US Cloud Act). E che le nuove SCC impongono all’esportatore UE di sospendere il trasferimento a fronte di invasioni di campo di autorità pubbliche nello Stato dell’importatore.
Key4biz. Dunque, la “minaccia” di eliminare per 300 milioni di europei Facebook e Instagram in che quadro si colloca?
Alessandro del Ninno. A parte che la “minaccia” è stata prontamente smentita dal Responsabile Meta dei rapporti con i Governi (“Non abbiamo assolutamente alcun desiderio e alcun piano di ritirarci dall’Europa”). Tuttavia, il momento in cui le affermazioni sono state effettuate è delicato non solo perché manca una soluzione normativa definitiva alle criticità implicate dal trasferimento dei dati personali dall’UE verso gli USA (che nemmeno un nuovo accordo tra UE ed USA credo potrà mai risolvere, sottraendosi a nuovi ricorsi di Max Schrems: servirebbe un intervento legislativo specifico nell’ordinamento USA). Il momento, come sopra accennavo, è delicato anche per la nuova proposta di Regolamento UE sui servizi digitali (il Digital Service Act – DSA): Meta credo si sia voluta riferire anche al possibile nuovo quadro regolatorio previsto dal DSA e dalle norme – piuttosto pesanti – per le “piattaforme on line molto grandi”, cioè quelle che raggiungono una media mensile di almeno 45 milioni di utenti (le Very Large Online Platforms – VLOP) Cito solo alcuni divieti od obblighi per le VLOP contenuto nel testo della proposta come da ultimo emendato: divieto di pubblicità mirata ai minori; divieto assoluto di pubblicità targettizzata basata sui dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati sanitari, dati su gusti e abitudini sessuali, etc; obbligo di risarcire i danni agli utenti; trasparenza sugli algoritmi utilizzati dalle piattaforme; procedure di notifica dei contenuti nocivi on line; rafforzamento del consenso degli utenti, etc.
Altro che il GDPR: la partita politica tra UE e Big tech è molto più ampia, e sembra solo all’inizio.
