Non sono poche le grandi aziende estere, specie le Big Tech americane, ad aver lasciato intendere che col proliferare di un numero sempre maggiore di leggi sta diventando via via più difficile fare impresa e innovazione nel Vecchio continente. L’ultimo in ordine di tempo ad attaccare frontalmente la Ue è stato Mark Zuckerberg di Meta, società scudisciata a più riprese dalla Commissione con diverse sanzioni (appena il 15 novembre per 797,72 milioni di euro a causa di pratiche abusive a vantaggio di Facebook Marketplace). Difficile dargli torto di fronte a notizie di veri e propri cortocircuiti che arrivano da Bruxelles, in cui la Corte europea condanna la Commissione Ue per violazione della Gdpr, ovvero il corpus normativo sulla privacy fermamente voluto dall’Unione europea.
COSA È ACCADUTO
Il ricorso accolto dalla Corte europea che si è pronunciata contro la Commissione Ue era stato presentato da un cittadino residente in Germania che ha denunciato l’organo di governo dell’Unione europea per aver violato il suo diritto alla protezione dei dati personali quando, nel 2021 e nel 2022, ha visitato il sito web della Conferenza sul futuro dell’Europa, gestito dalla Commissione.
In particolare, l’utente ha spiegato ai giudici comunitari che si era registrato all’evento “GoGreen” attraverso tale sito web utilizzando il servizio di autenticazione EU Login della Commissione, dopo aver selezionato l’opzione di accesso con il suo account Facebook.
IL TRASFERIMENTO DEI DATI NEGLI USA
Ciò però ha comportato, secondo la lagnanza dell’internauta, il trasferimento dei suoi dati personali, tra cui il suo indirizzo IP e le informazioni sul suo browser negli Usa, nel caso di specie sia ad Amazon Web Services, “nella sua qualità di gestore della rete di distribuzione di contenuti Amazon CloudFront utilizzata dal sito web in questione”, sia a Meta, che permetteva il log-in rapido attraverso autenticazione social.
LA VIOLAZIONE DELLA GDPR
Su tale base, il cittadino tedesco ha chiesto il pagamento di 1200 euro a titolo di risarcimento del danno morale, in quanto si è trovato in una situazione di incertezza per quanto riguarda il trattamento dei suoi dati personali, in particolare del suo indirizzo IP. “La Commissione non aveva indicato alcuna delle garanzie appropriate che avrebbero potuto giustificare tali trasferimenti” e gli Usa offrono minori livelli di riservatezza rispetto alle stringenti normative Ue.
Richiesta parzialmente accolta dalla Corte, secondo cui la Commissione ha commesso una violazione sufficientemente grave della Gdpr comunitaria che ha lo scopo di conferire diritti ai singoli. A salvare almeno parzialmente l’esecutivo Ue il fatto che i dati veicolati ad Amazon CloudFront erano in realtà stati trasferiti a un server di Monaco di Baviera, dunque intra-Ue.
TUTTA COLPA DI MARK (ANCORA UNA VOLTA)
L’unica richiesta accettata ha riguardato il caso della registrazione all’evento GoGreen tramite account Facebook. In questo modo, spiega il Tribunale, la Commissione “ha creato le condizioni per la trasmissione del suo indirizzo IP a Meta”, società estera con server posizionati al di là dell’oceano.
“Tale trasferimento deve essere imputato alla Commissione”. Con l’aggravante che ciò è accaduto in un momento in cui “non esisteva alcuna decisione della Commissione che stabilisse che gli Stati Uniti garantissero un livello adeguato di protezione dei dati personali dei cittadini Ue”: in altre parole, “la visualizzazione dell’hyperlink “Accedi con Facebook” sul sito era interamente disciplinata dai termini e dalle condizioni generali della piattaforma Facebook”.
La Commissione Ue dovrà perciò mettere mani al portafogli e risarcire il cittadino comunitario dandogli 400 euro. Una sentenza costata cara all’Europa, più per la somma per la figuraccia fatta dato che la pronuncia dei giudici comunitari sta già rimbalzando su tutte le testate del mondo e sembra dar ragione ai detrattori di una Ue che rischia di finire ostaggio dei suoi stessi regolamenti.