Per la prima volta nella storia, il Tribunale dell’Unione Europea ha condannato la Commissione Ue per aver violato il Regolamento Generale sulla Protezione dei Dati (GDPR) – la normativa pensata dallo stesso esecutivo comunitario per garantire la tutela dei dati personali all’interno dell’Unione. Una sentenza senza precedenti, derivante dalla denuncia di un cittadino tedesco, che evidenzia la necessità di rispettare rigorosamente le normative sulla privacy.
La Commissione ha violato la privacy, cosa è successo?
La vicenda risale al periodo 2021-22, quando un utente tedesco si registrò per partecipare a un evento online organizzato dalla Commissione europea, accedendo tramite il pulsante “Accedi con Facebook”.
Effettuando il login, il suo indirizzo IP e altre informazioni personali relative al dispositivo e al browser sono state trasmesse a Meta (Facebook) e, indirettamente, ad Amazon Web Services (AWS) tramite Amazon CloudFront. All’epoca dei fatti, gli Stati Uniti non figuravano tra i Paesi certificati dall’Ue come dotati di un livello di protezione adeguato per i dati personali, in conformità alle regole del GDPR.
Secondo il GDPR, i trasferimenti di dati personali verso Paesi terzi devono essere giustificati da adeguate garanzie di sicurezza o coperti da accordi specifici. La Commissione non ha indicato nessuna di queste garanzie, esponendo i dati del cittadino a un rischio potenziale, e per questo è stata condannata a risarcire l’utente con 400 euro. L’uomo, rivolgendosi al Tribunale dell’Ue, aveva chiesto un risarcimento di 400 euro per danni morali, un altro risarcimento del valore di 800 euro per danni morali a causa della violazione del suo diritto di accesso alle informazioni, l’annullamento del trasferimento dei suoi dati personali e una dichiarazione della Commissione in merito alla vicenda.
Il Tribunale ha respinto la richiesta di risarcimento danni per il trasferimento dei dati tramite Amazon CloudFront perché queste informazioni erano state trasferite a un server presente in Europa (a Monaco di Baviera, in Germania). La Corte ha anche rigettato la possibilità di annullare il trasferimento. Insomma, l’unica richiesta accettata dalla Corte è stata quella che ha riguardato il caso della registrazione con Facebook all’evento GoGreen.
“La Commissione – spiega il Tribunale – ha creato le condizioni per la trasmissione del suo indirizzo IP a Facebook” in un momento in cui “non esisteva alcuna decisione della Commissione che stabilisse che gli Stati Uniti garantissero un livello adeguato di protezione dei dati personali dei cittadini Ue”. Lussemburgo ha quindi confermato che la visualizzazione dell’hyperlink “Accedi con Facebook” fosse interamente disciplinata da Meta. La Cgue ha confermato il risarcimento di 400 euro a carico della Commissione perché “Il cittadino si è trovato in una situazione di incertezza per quanto riguarda il trattamento dei suoi dati personali, in particolare del suo indirizzo IP”.
Qual è stata la violazione del GDPR?
- Trasferimento di dati verso Paesi non certificati
La Commissione, consentendo l’uso del pulsante “Accedi con Facebook”, ha creato le condizioni per il trasferimento dei dati verso server di proprietà di Meta situati negli Stati Uniti. Al momento del fatto, non esisteva un accordo che stabilisse che gli Usa offrissero un livello di protezione adeguato per i dati personali dei cittadini europei, come richiesto dal GDPR; - Assenza di garanzie adeguate
Secondo il Tribunale, la Commissione avrebbe dovuto predisporre misure contrattuali o tecniche (es. crittografia robusta) per garantire la protezione dei dati trasferiti al di fuori dell’Ue. L’assenza di tali garanzie ha configurato una violazione diretta del regolamento; - Mancanza di trasparenza
L’utente non è stato correttamente informato sulle modalità di trattamento dei suoi dati e sulle potenziali implicazioni del loro trasferimento. La Commissione avrebbe dovuto fornire informazioni dettagliate sulle policy di Meta e chiarire come i dati sarebbero stati protetti.
Cosa avrebbe dovuto fare la Commissione per rispettare il GDPR?
- Evitare l’uso di servizi di autenticazione legati a terze parti non conformi
La Commissione avrebbe potuto utilizzare strumenti di registrazione che garantissero il rispetto del GDPR senza richiedere trasferimenti a paesi terzi privi di protezione adeguata; - Garantire il controllo sui dati
Prima di consentire l’autenticazione tramite “Accedi con Facebook”, avrebbe dovuto assicurarsi che i dati rimanessero all’interno dell’Ue o fossero protetti tramite garanzie contrattuali solide (ad esempio, clausole standard di protezione); - Fornire informazioni chiare agli utenti
Gli utenti avrebbero dovuto essere pienamente informati sul trattamento dei loro dati, incluse le destinazioni dei trasferimenti e i rischi associati.
Il Privacy Shield e le implicazioni future
La sentenza, pur unica, trova riscontro in altre vicende legate alla tutela della privacy online: la Cgue aveva già invalidato il Privacy Shield (l’accordo che regolava il trasferimento di dati tra Ue e Usa), affermando che non offriva sufficienti garanzie di protezione contro l’accesso ai dati da parte delle autorità americane.
Inoltre, molte aziende private hanno dovuto interrompere l’uso di strumenti che implicano trasferimenti verso gli Usa, o introdurre misure come la crittografia avanzata per conformarsi al GDPR.
Bruxelles ha ora il diritto di impugnare la decisione della Corte entro due mesi e dieci giorni.
