La sanzione a Meta per violazione della privacy

La sanzione a Meta per violazione della privacy

Qualche commento sulla sanzione da 1,2 miliardi di dollari applicata dall’autorità garante irlandese a Meta.

Il regolamento generale europeo stabilisce che le sanzioni, per le violazioni del regolamento stesso, devono essere effettive, proporzionali e dissuasive. Questo è il motivo per cui nel regolamento non vengono imposte sanzioni minime, ma vengono indicati i criteri, in base ai quali una sanzione può essere calcolata ed applicata.

Prima di parlare della metodologia di calcolo delle sanzioni, è bene ricordare il motivo per cui l’autorità garante irlandese, supportata dal comitato europeo per la protezione dati personali, ha deciso di applicare una sanzione a Meta. Vedremo poi le modalità di calcolo di tale sanzione.

L’autorità irlandese per la protezione dati personali ha analizzato il servizio Facebook, gestito da Meta. Ha potuto appurare che Meta trasferiva dati personali di cittadini europei negli Stati Uniti, facendo riferimento a delle clausole contrattuali standard, che rappresentano uno dei metodi con cui il regolamento europeo consente il trasferimento di dati personali dall’Europa verso paesi, non inseriti in una lista di paesi accreditati.

Il presidente del comitato europeo per la protezione dei dati ha rilevato che la violazione di Meta, che utilizzava clausole non appropriate, era di particolare gravità in quanto era sistematica, ripetitiva e continua.

Stiamo parlando dei dati di milioni di utenti Facebook e quindi il volume di dati personali trasferito era letteralmente gigantesco.

Pubblicità

Libri e Manuali - La progettazione delle sale di controllo: la serie ISO 11064 ed altre norme - eBook in pdf Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti.

Indipendentemente dall’importo della sanzione, il comitato europeo per la protezione dei dati ha anche dato ordine a Meta di allineare le procedure di trattamento dei dati, nel pieno rispetto del capitolo quinto del regolamento europeo, cessando immediatamente trattamenti illegali, inclusa la memorizzazione, su basi dati localizzate negli Stati Uniti, di dati personali cittadini europei. Per allinearsi queste indicazioni è stato concesso un termine massimo di sei mesi.

Cogliamo l’occasione per ricordare ai lettori che il trasferimento di dati personali di cittadini europei verso paesi esterni all’unione europea può avvenire solo a condizione che vengano stipulate delle clausole standard contrattuali, che garantiscano un’idonea protezione dei dati nel paese terzo, oppure che il paese terzo sia inserito in una lista, costantemente aggiornata, di paesi, in cui i regolamenti in materia di protezione dati personali siano assimilabili a quelli in vigore in Europa.

Ciò premesso, andiamo a vedere le modalità di calcolo della sanzione.

Appare del tutto evidente che, per rispettare i tre aggettivi sopra illustrati, l’applicazione della sanzione prevede l’avvio di una istruttoria, che deve tenere conto di ben 11 parametri.

Tra questi parametri, a titolo esemplificativo, vi è il fatto che la violazione si sia ripetuta nel tempo, che la violazione abbia particolare gravità, che l’importo della sanzione, per essere dissuasivo, sia in qualche modo legato al fatturato del titolare, che ha violato il regolamento.

Nella fattispecie, il comitato europeo per la protezione dei dati ha ritenuto che il punto di partenza per il calcolo della sanzione dovesse aggirarsi tra il 20% ed il 100% del massimo legale previsto dal regolamento. Il massimo legale è legato al fatturato dell’azienda coinvolta ed ecco il motivo per cui, in considerazione delle dimensioni dell’azienda in causa, si è giunti a questo importo, che rappresenta, almeno ad oggi, il massimo importo mai applicato per violazione di articoli del regolamento.

Cogliamo l’occasione della illustrazione di questa sanzione, per ricordare lettori che, ove debbano trasferire dati personali in paesi terzi, si pensi ad esempio al caso dei call center che si trovano in Albania e vengono utilizzati da aziende italiane per chiamate a cittadini italiani, che le clausole che proteggono questo trasferimento di dati debbano essere tanto analitiche, quanto restrittive.

Oggi sono già disponibili diversi modelli di queste clausole standard, che raccomandiamo ai lettori di esaminare attentamente, prima di passare ad elaborare eventuali proprie clausole contrattuali.

Adalberto Biasiotti

Licenza Creative Commons