Twitter rischia di diventare la prima grande tech company sanzionata dall’Europa per violazione delle norme sulla privacy: la Data protection commission (Dpc) irlandese ha presentato agli altri stati membri dell’Unione europea la sua decisione preliminare in merito all’indagine aperta l’anno scorso sul presunto mancato rispetto delle disposizioni imposte dalla General data protection regulation (Gdpr).
Il caso si riferisce a un bug nell’app Android di Twitter a causa del quale alcuni tweet protetti degli utenti del social media sono stati resi pubblici. Per la Dpc non è la sola indagine aperta a fine 2019 sulle grandi aziende tecnologiche: sul tavolo del regolatore europeo c’è un’altra inchiesta su Twitter più altri 18 dossier che riguardano presunte violazioni delle tutele per i dati personali, tra cui molteplici indagini su Facebook e sulla sua applicazione di messaggisticaWhatsApp.
Sanzioni fino al 4% del fatturato globale
L’Irlanda è sede dei quartieri generali di molte aziende hitech statunitensi e per questo la Dpc è il principale regolatore dell’Ue nell’ambito del meccanismo dello sportello unico (“one stop shop”) introdotto col Gdpr. La nuova regulation europea sulla protezione dei dati personali dà al regolatore il potere di imporre sanzioni pari al 4% del fatturato globale o 20 milioni di euro (a seconda di quale sia la cifra più alta) all’azienda di cui siano state riconosciute violazioni del Gdpr.
Le decisioni preliminari della Dpc devono essere condivise con tutte le autorità europee di supervisione e le opinioni di ciascuna devono essere tenute in considerazione per la formulazione della decisione finale. Il vice commissario Graham Doyle ha tuttavia dichiarato all’agenzia Reuters che al momento non può svelare il contenuto della decisione preliminare su Twitter.
Su Facebook scrutinio massimo dell’authority
Per Facebook la situazione è ben più complicata che per Twitter: lo scrutinio della Dpc sul social media di Mark Zuckerberg è massimo, perché ci sono otto singole indagini in corso, tra cui due su WhatsApp e una su Instagram. Il regolatore irlandese ha detto di aver mandato una decisione preliminare a WhatsApp Irland per ottenere la risposta definitiva dall’azienda. Questo caso indaga se l’app di messaggistica ha violato il Gdpr non avendo informando in modo completo gli utenti che condivide i loro dati personali con la capogruppo Facebook.
La Dpc ha anche detto di aver compiuto nuovi progressi in tre delle indagini aperte su Facebook. Tra queste risulta in fase avanzata l’inchiesta (avviata dopo una denuncia) incentrata sugli obblighi di Facebook Ireland in merito al trattamento dei dati personali: la Dpc ha cercato di appurare se Facebook abbia ottenuto in modo legalmente valido il consenso da parte dei suoi utenti all’utilizzo dei loro dati. In questo caso il regolatore ha indicato di essere prossimo a una decisione finale.
Caso Schrems alla Corte di Giustizia Ue
Va avanti anche la causa intentata dall’attivista austriaco Max Schrems contro Facebook: l’udienza alla Corte di giustizia dell’Unione europea si terrà il 16 luglio. Schrems ha accusato Facebook di aver violato le norme Ue sulla privacy mandando dati degli utenti negli Stati Uniti dove potrebbero essere soggetti alla sorveglianza governativa. Il caso si incentra sui termini del contratto con le condizioni d’uso della piattaforma che autorizzano il trasferimento dei dati: l’accusa sostiene che Facebook lo faccia in violazione del Gdpr.
A dicembre la Cgue ha dato un primo parere sulla causa affermando che “le clausole contrattuali standard per il trasferimento di dati personali verso i soggetti incaricati del trattamento in paesi terzi sono valide” – una simbolica vittoria per Facebook. Ma la Corte ha anche dato ragione a Schrems sul Privacy Shield e detto che esiste un “obbligo” per chi controlla i dati e per le autorità di regolazione di sospendere il trasferimento dei dati laddove emergano conflitti con le leggi del paese dove tali informazioni vengono trasferite.
La sentenza definitiva della Cgue potrebbe avere un impatto decisivo sulle imprese americane che ogni giorno trasferiscono negli Stati Uniti i dati dei cittadini europei, se la Cgue arriverà a chiedere l’annullamento del Privacy Shield in quanto non rispettoso dei requisiti imposti dal Gdpr.
Secondo l’Alta corte dell’Irlanda esistono motivi fondati per temere che la legislazione degli Stati Uniti sia priva di misure sulla privacy efficaci compatibili con le nuove regole europee sui dati. Spetta alla Cgue decidere se i metodi usati per il trasferimenti transatlantico dei dati – incluse le clausole contrattuali del Privacy shield – siano legali.
