(ASI) Irlanda – Una multa salatissima. La possibilità che Facebook non possa più operare in territorio europeo. Una guerra legale all’orizzonte. Insomma, volano stracci fra l’Unione europea, Mark Zuckerberg e il suo impero dei social.

Il 23 maggio il Garante per la protezione dei dati personali irlandese (DPC) – che agisce per conto dell’Ue – ha emesso una decisione clamorosa, comminando alla società Meta una sanzione record da ben 1.2 miliardi di euro.

L’accusa è quella di aver trasferito negli Stati Uniti i dati personali degli utenti europei di Facebook, in evidente violazione del Regolamento generale sulla protezione dei dati dell’Ue (GDPR). Il timore è che le nostre informazioni riservate possano finire, una volta oltrepassato l’Oceano Atlantico, dritti nelle mani dei servizi segreti statunitensi per ragioni di sorveglianza.

Cerchiamo di capire meglio. Ogni volta che navighiamo su Facebook – ma anche su tutti gli altri social in circolazione – consegniamo alla piattaforma tantissime informazioni su di noi, a partire dai contenuti a cui mettiamo “mi piace”, i video che guardiamo, o gli amici con cui interagiamo. Questi dati sono preziosissimi, poiché vengono sfruttati dal colosso per rivenderli alle agenzie pubblicitarie e incassare in cambio lauti compensi.

Ora, secondo l’autorità europea il problema è che Facebook non memorizza la miriade di dati personali raccolti quotidianamente in archivi digitali all’intero dell’Europa. Al contrario, li invia negli Stati Uniti, dove nessuno garantisce che vengano conservati al sicuro e al riparo da accessi illegittimi. Ce lo insegna lo scandalo di Edward Snowden e delle sue eclatanti rivelazioni, che a quanto pare Bruxelles non ha mai dimenticato.

Cosa ha decretato, dunque, l’autorità garante irlandese? Oltre alla maxi-multa, ha ordinato a Facebook di “sospendere qualsiasi futuro trasferimento di dati personali verso gli Stati Uniti” entro cinque mesi dalla notifica della decisione. In aggiunta, ha imposto di rimuovere dagli archivi digitali americani tutti i dati personali europei finora raccolti entro sei mesi dalla notifica della decisione.

Quindi, se Facebook non la smetterà di inviare i dati oltreoceano e se non cancellerà quelli precedentemente inviati, non potrà più funzionare in suolo europeo.

Ma come siamo arrivati a questo esplosivo punto di non ritorno? Per comprenderlo, dobbiamo fare un passo indietro. Fino a tre anni fa, le modalità di trasferimento dei dati venivano regolate dal “Privacy Shield”, ovvero una legge che prevedeva elevati criteri di sicurezza per le informazioni personali giunte negli Stati Uniti dall’Europa. Nel 2020, tuttavia, una sentenza della Corte di giustizia dell’Unione europea – in seguito ad accurate indagini – invalidò la legge, in quanto emersero serie preoccupazioni relative al trattamento dei dati in America.

Nel 2021, la Commissione europea adottò una norma provvisoria – le cosiddette “Clausole contrattuali standard – in attesa della riapertura delle trattative fra Bruxelles e Washington per la scrittura di una nuova e più efficace legge. Poiché da allora nulla è cambiato, Facebook ha continuato a operare adottando la normativa provvisoria.

Ed è qui che sorge il problema. Secondo il Garante irlandese, infatti, le Clausole standard non risolvono quei “rischi per i diritti e le libertà fondamentali” che hanno condotto alla bocciatura del Privacy Shield da parte dei magistrati europei. In altre parole, continuando a trasferire i dati degli utenti Facebook ha agito in maniera illecita. Ha violato, nello specifico, gli articoli del Regolamento sulla protezione dei dati personali che impediscono il “trasferimento dei dati personali verso un paese terzo” in mancanza di un “livello di protezione adeguato”.

La decisione del Garante irlandese, va detto, è stata molto sofferta. Diverse autorità garanti di altri Stati membri europei vi si sono opposte. Per arrivare al clamoroso giudizio finale, è stato necessario l’intervento conciliatorio del Comitato europeo per la protezione dei dati (EDPB). L’organismo comunitario ha riconosciuto la maxi-multa come “la più grande mai comminata per la violazione del Regolamento GDPR”.

Nel contempo, però, l’ha anche ritenuta proporzionale alla gravità dell’illecito commesso. In un comunicato, la presidente Andrea Jelinek ha dichiarato: “La violazione di Meta è molto grave poiché riguarda trasferimenti sistematici, continuativi e ripetitivi. Il volume dei dati personali trasferiti è enorme. La multa senza precedenti è un segnale forte per le organizzazioni: le violazioni gravi hanno conseguenze di vasta portata”.

Di tutt’altro avviso è Meta, l’azienda proprietaria di Facebook. Nick Clegg, presidente degli Affari globali, ha subito annunciato riscorso contro la decisione “sbagliata e ingiustificata”. A suo avviso, nella società interconnessa in cui viviamo bloccare il trasferimento dei dati è dannoso per tutti: “Senza la possibilità di trasferire i dati al di là delle frontiere, Internet rischia di essere frammentato in blocchi nazionali e regionali, ostacolando l'economia globale e impedendo ai cittadini di diversi paesi di accedere a molti servizi condivisi”.

La questione è di fondamentale importanza per Menlo Park, dal momento che il colosso rischia di dover rinunciare al traffico generato da milioni e milioni di utenti europei, ivi compreso l’enorme incasso finanziario. La vicenda, lo precisiamo, riguarda esclusivamente Facebook e non gli altri social di Zuckerberg come Instagram o Whatsapp. Tuttavia, già l’anno scorso Meta aveva avvisato che un’eventuale limitazione al trasferimento dei dati avrebbe potuto comportare la chiusura di Facebook e Instagram in Europa. Un’affermazione che Bruxelles aveva prontamente rispedito al mittente, bollandola come una minaccia inaccettabile.

Sulla disputa, comunque, non è ancora detta l’ultima parola. In primo luogo, il Garante irlandese ha concesso all’azienda numerosi mesi per conformarsi alla decisione. Ma la salvezza potrebbe giungere per mezzo del Data Privacy Framework (DPF), ovvero il nuovo provvedimento che, sostituendo il Privacy Shield, regolerà una volta per tutte il trasferimento dei dati fra le due sponde dell’Atlantico.

Nel marzo 2022, Ursula von der Leyen e Joe Biden hanno annunciato di essere vicini alla stesura dell’accordo definitivo. Indiscrezioni di stampa sostengono che la firma ufficiale potrebbe avvenire già il prossimo 1° luglio. Se la normativa entrerà in vigore prima delle scadenze fissate dal Garante irlandese, Zuckerberg si salverà e noi europei potremo continuare a navigare su Facebook.

Non ci resta che attendere per scoprire l’epilogo di questa travagliata “guerra digitale”. Una cosa, in ogni caso, è certa: dietro a tutti i nostri “mi piace”, a tutte le nostre foto condivise sui social si cela un bottino preziosissimo fatto di informazioni personali e ricavi commerciali stellari. Anche se non ce ne rendiamo conto, su Internet niente è davvero gratuito. Se Facebook non ci chiede soldi è perché, in realtà, sono i nostri dati personali a costituire il vero trofeo.

Marco Sollevanti – Agenzia Stampa Italia