Lo scorso 22 maggio, la Commissione per la Protezione dei Dati irlandese (di seguito “Garante privacy irlandese”) ha annunciato di aver concluso la propria indagine relativa a Meta Platforms Ireland Limited (di seguito “Meta Ireland”), riguardante, in particolare, il trasferimento di dati personali, operato da quest’ultima, dall’UE/SEE agli Stati Uniti per il servizio Facebook.
Il Garante privacy irlandese ha emesso la sua decisione finale il 12 maggio 2023 e, a fronte di ciò, ha stabilito che Meta Ireland ha violato l’articolo 46(1) del Regolamento UE 2016/679 (“GDPR”) continuando a trasferire dati personali agli Stati Uniti dopo la sentenza della Corte di Giustizia dell’UE (CGUE) nel caso Data Protection Commissioner v Facebook Ireland Limited e Maximillian Schrems (c.d. “Schrems II”). Nonostante Meta Ireland abbia utilizzato le Clausole Contrattuali Standard (SCC) aggiornate adottate dalla Commissione europea nel 2021, insieme a misure supplementari, il Garante privacy irlandese ha riscontrato come tali adempimenti non abbiano affrontato adeguatamente i rischi per i diritti fondamentali e le libertà degli interessati identificati dalla CGUE nella summenzionata sentenza.
La decisione in parola trae origine da un’attività di indagine avviata nell’agosto del 2020, poi sospesa dall’Alta Corte d’Irlanda fino al 20 maggio 2021 e poi culminata in una bozza di decisione del 6 luglio 2022 del Garante privacy irlandese. All’interno di tale bozza, l’Authority ha stabilito che i trasferimenti di dati in questione violavano l’articolo 46(1) del GDPR e che, pertanto, dovevano essere sospesi.
Nel rispetto delle disposizioni del GDPR sulla cooperazione tra l’autorità di controllo capofila e le altre autorità di controllo interessate (cfr. art. 60 e ss. GDPR), la bozza di decisione del Garante privacy irlandese è stata sottoposta alle autorità di controllo competenti dell’UE/SEE (le “Autorità di Controllo Interessate”).
Quattro delle quarantasette Autorità di controllo interessate hanno sollevato obiezioni riguardo ai poteri correttivi proposti nella bozza di decisione del Garante privacy irlandese. Quest’ultimo, in disaccordo, ha sostenuto che l’esercizio di ulteriori poteri correttivi oltre all’ordinanza di sospensione proposta sarebbe stato eccessivo rispetto all’entità dei poteri che possono essere considerati appropriati, proporzionati e necessari per affrontare la violazione dell’articolo 46(1) del GDPR.
Dopo un processo di consultazione informale, il Garante privacy irlandese ha quindi trasmesso le predette obiezioni all’European Data Protection Board (EDPB) al fine di ottenere una decisione, coerente e vincolante, secondo il meccanismo di risoluzione delle controversie previsto dall’articolo 65 del GDPR. Tale decisione è stata adottata dall’EDPB il 13 aprile 2023.
In ottemperanza agli obblighi di adottare una decisione finale sulla base della posizione espressa dall’EDPB, il Garante privacy irlandese, con la decisione del 12 maggio 2023, ha quindi esercitato i seguenti poteri correttivi nei confronti di Meta per la violazione dell’articolo 46, par. 1, del GDPR:
- una sanzione amministrativa di 1,2 miliardi di euro;
- un’ordinanza, resa ai sensi dell’art. 58, par. 2, lett. j) del GDPR, che impone a Meta Ireland di sospendere qualsiasi futuro trasferimento di dati personali agli Stati Uniti entro cinque mesi dalla notifica della decisione succitata a Meta Ireland.
un’ordinanza, resa ai sensi dell’articolo 58, par. 2, lett. d) del GDPR, che obbliga Meta Ireland a conformare le sue operazioni di trattamento al Capo V del GDPR (“Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”), cessando il trattamento illecito dei dati personali degli utenti dell’UE/SEE negli Stati Uniti, inclusa la conservazione, entro sei mesi dalla notifica della decisione del Garante privacy irlandese a Meta Ireland.
