di Vitalba Azzollini
Nelle scorse settimane, dopo un iter istruttorio travagliato, l’Autorità per la privacy irlandese (Data Protection Commission) ha irrogato una sanzione di 225 milioni di euro a WhatsApp, società di proprietà di Facebook, per non aver assolto agli obblighi di trasparenza nei riguardi degli utenti europei circa l’utilizzo dei loro dati, in violazione del regolamento europeo per la protezione dei dati personali (Gdpr). La decisione si segnala perché consente di verificare in concreto, da un lato, il funzionamento del principio dello “sportello unico” (“one stop shop”) – le società sono sottoposte all’Autorità privacy del paese dove hanno la sede principale (Autorità capofila), le cui deliberazioni valgono anche negli altri stati dell’Unione – e le eventuali distorsioni operative che ne possono derivare, come nel caso del Garante irlandese. Dall’altro lato, il bilanciamento di tale principio attraverso l’intervento dell’European Data Protection Board (Comitato europeo per la protezione dei dati).
I fatti
Nel dicembre 2018, la Data Protection Commission ha avviato un’indagine tesa a valutare se fossero stati assolti gli obblighi di trasparenza informativa previsti dal Gdpr per il trasferimento dei dati degli utenti europei negli Stati Uniti, con riguardo al servizio di messaggistica di WhatsApp. Nel dicembre 2020, la Dpc ha presentato alle altre Autorità di vigilanza il proprio progetto di decisione (art. 60 Gdpr): una sanzione pari a 50 milioni di euro. Alcune Autorità hanno reputato la somma irrisoria, vista la previsione di sanzioni amministrative pecuniarie fino al 4 per cento del fatturato mondiale, ai sensi del Gdpr (art. 83) e hanno espresso parere negativo, senza che si riuscisse a trovare un accordo. Ciò ha determinato l’avvio del processo di risoluzione delle controversie disposto dal Gdpr (art. 65), che prevede l’intervento dell’European Data Protection Board.
Peraltro, nel maggio 2021, il Garante privacy tedesco ha vietato a Facebook Ireland (art. 66, c. 1, Gdpr) l’uso dei dati degli utenti di WhatsApp, con l’invio agli Stati Uniti, e ha chiesto “una decisione vincolante d’urgenza del Comitato”. Nel luglio 2021, il Comitato ha ordinato al Garante irlandese di svolgere una nuova indagine e di rivalutare la sua proposta di sanzione in base a specifici fattori. A seguito della nuova istruttoria, l’autorità irlandese ha deliberato la nuova sanzione.
Il Garante irlandese
Importanti web company hanno stabilito in Irlanda la propria sede europea, per godere delle agevolazioni fiscali vigenti nel paese. L’Autorità irlandese per la privacy riveste quindi un ruolo rilevante, perché competente ad adottare decisioni inerenti a molte multinazionali tecnologiche presenti in Europa. Infatti, il meccanismo dello “sportello unico” – introdotto dal Gdpr per ovviare all’evenienza di più decisioni, eventualmente difformi, da parte dei diversi paesi interessati dai “trattamenti transfrontalieri” di dati personali e consentire una semplificazione procedurale – conferisce un potere enorme all’Autorità capofila.
Il Garante irlandese è stato più volte accusato di disfunzioni nell’applicazione del regolamento Ue. Nel maggio 2021, la Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo (Libe) ha presentato una mozione ove esprime preoccupazione per i ritardi della Dpc nel sanzionare le web company. Il Parlamento Ue, a propria volta, ha invitato la Commissione ad avviare una procedura di infrazione contro l’Irlanda per l’applicazione non corretta del Gdpr.
Nelle scorse settimane, dopo un iter istruttorio travagliato, l’Autorità per la privacy irlandese (Data Protection Commission) ha irrogato una sanzione di 225 milioni di euro a WhatsApp, società di proprietà di Facebook, per non aver assolto agli obblighi di trasparenza nei riguardi degli utenti europei circa l’utilizzo dei loro dati, in violazione del regolamento europeo per la protezione dei dati personali (Gdpr). La decisione si segnala perché consente di verificare in concreto, da un lato, il funzionamento del principio dello “sportello unico” (“one stop shop”) – le società sono sottoposte all’Autorità privacy del paese dove hanno la sede principale (Autorità capofila), le cui deliberazioni valgono anche negli altri stati dell’Unione – e le eventuali distorsioni operative che ne possono derivare, come nel caso del Garante irlandese. Dall’altro lato, il bilanciamento di tale principio attraverso l’intervento dell’European Data Protection Board (Comitato europeo per la protezione dei dati).
I fatti
Nel dicembre 2018, la Data Protection Commission ha avviato un’indagine tesa a valutare se fossero stati assolti gli obblighi di trasparenza informativa previsti dal Gdpr per il trasferimento dei dati degli utenti europei negli Stati Uniti, con riguardo al servizio di messaggistica di WhatsApp. Nel dicembre 2020, la Dpc ha presentato alle altre Autorità di vigilanza il proprio progetto di decisione (art. 60 Gdpr): una sanzione pari a 50 milioni di euro. Alcune Autorità hanno reputato la somma irrisoria, vista la previsione di sanzioni amministrative pecuniarie fino al 4 per cento del fatturato mondiale, ai sensi del Gdpr (art. 83) e hanno espresso parere negativo, senza che si riuscisse a trovare un accordo. Ciò ha determinato l’avvio del processo di risoluzione delle controversie disposto dal Gdpr (art. 65), che prevede l’intervento dell’European Data Protection Board.
Peraltro, nel maggio 2021, il Garante privacy tedesco ha vietato a Facebook Ireland (art. 66, c. 1, Gdpr) l’uso dei dati degli utenti di WhatsApp, con l’invio agli Stati Uniti, e ha chiesto “una decisione vincolante d’urgenza del Comitato”. Nel luglio 2021, il Comitato ha ordinato al Garante irlandese di svolgere una nuova indagine e di rivalutare la sua proposta di sanzione in base a specifici fattori. A seguito della nuova istruttoria, l’autorità irlandese ha deliberato la nuova sanzione.
Il Garante irlandese
Importanti web company hanno stabilito in Irlanda la propria sede europea, per godere delle agevolazioni fiscali vigenti nel paese. L’Autorità irlandese per la privacy riveste quindi un ruolo rilevante, perché competente ad adottare decisioni inerenti a molte multinazionali tecnologiche presenti in Europa. Infatti, il meccanismo dello “sportello unico” – introdotto dal Gdpr per ovviare all’evenienza di più decisioni, eventualmente difformi, da parte dei diversi paesi interessati dai “trattamenti transfrontalieri” di dati personali e consentire una semplificazione procedurale – conferisce un potere enorme all’Autorità capofila.
Il Garante irlandese è stato più volte accusato di disfunzioni nell’applicazione del regolamento Ue. Nel maggio 2021, la Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo (Libe) ha presentato una mozione ove esprime preoccupazione per i ritardi della Dpc nel sanzionare le web company. Il Parlamento Ue, a propria volta, ha invitato la Commissione ad avviare una procedura di infrazione contro l’Irlanda per l’applicazione non corretta del Gdpr.
Continua la lettura su Lavoce.info
Nessun commento:
Posta un commento