Privacy e trasferimento dati: l'UE multa se stessa

La complessità delle regole europee sulla privacy, il GDPR, ha fatto un'altra vittima: l'Unione Europea. Non è uno scherzo: il Tribunale dell'Unione europea l'8 gennaio ha infatti ordinato alla Commissione Europea di risarcire un cittadino tedesco per trattamento non autorizzato dei dati personali. A riportarlo sono Reuters e altre testate online. 

UE contro UE: quando il GDPR colpisce le istituzioni

Il GDPR è un regolamento in vigore da ormai molti anni in Europa, nato per garantire la tutela dei dati personali dei cittadini europei. Nello specifico, nasce per limitare lo scambio di informazioni personali verso altri Stati, in particolare gli USA, dove hanno sede colossi dei social network come Meta (Facebook, Instagram, WhatsApp), Google, X e non solo. 

Ma cosa è successo esattamente? I fatti risalgono agli anni 2021 e 2022 e sono relativi alle conferenze GoGreen organizzate in questo periodo e pubblicizzate tramite una pagina istituzionale dell'UE. All'interno di questa pagina, era possibile registrarsi agli eventi usando il classico tasto "Login con Facebook". 

Ad avviare la causa un cittadino tedesco, Thomas Bindl, che ha scelto questo metodo per registrarsi all'evento e successivamente ha fatto causa all'UE per violaziona del GDPR: accedento tramite Facebook, infatti, i dati personali del cittadino, inclusi l'indirizzo IP e informazioni sul browser utilizzato, sono state trasferite a terze parti fuori dall'UE e residenti negli USA. Nello specifico, queste terze parti erano due aziende americane: Meta e AWS. 

Secondo Bindl, questa violazione potenzialmente consentirebbe alle agenzie di intelligence statunitensi di accedere ai suoi dati personali, e per questo ha deciso di portare l'UE davanti a un giudice. Che gli ha dato ragione, stabilendo che dovrà essere risarcito di 400 euro per danni non materiali e di altri 800 euro per presunte violazioni del suo diritto di accesso alle informazioni.

Interessante come né AWS né Meta abbiano responsabilità in questo. Nel caso di AWS perché i dati sono sempre passati tramite server dell'azienda fisicamente collocati in Germania, e quindi non hanno mai lasciato i confini UE se non in un singolo caso, dovuto però a un errore di Bindl stesso. 

Nel caso di Meta, invece, non si tratta di un'errore dell'azienda: secondo il Tribunale della Commissione Europea, infatti, la scelta di inserire il tasto per il login tramite Facebook è stata una scelta dell'UE, che ai tempi (marzo 2022) non aveva ancora preso una decisione netta sull'adeguatezza degli standard di protezione dei dati personali adottati dagli USA.