La Commissione irlandese per la protezione dei dati (IE DPA), su incarico dell’EDPB – gruppo che riunisce tutti i garanti privacy europei – ha sanzionato Meta per 1,2 miliardi di euro per aver violato la normativa europea sulla protezione dei dati (GDPR).
Meta, proprietaria di alcune delle app e dei social network più utilizzati al mondo come WhatsApp, Instagram e Facebook, proprio con Facebook avrebbe violato le norme che regolano il trasferimento dei dati al di fuori del territorio europeo, comunicando dati personali negli USA, dove la multinazionale ha sede, in maniera illecita.
Si tratta della sanzione più alta mai comminata da un’autorità garante per la protezione dei dati europea, che mette nuovamente i riflettori sull’annosa questione del trasferimento negli USA dei dati personali.
Infatti, anche a seguito dell’invalidazione da parte della Corte di giustizia dell’UE dell’UE-USA Privacy Shield, accordo quadro internazionale che permetteva il trasferimento dei dati negli USA a condizioni certe e semplificate e dichiarato invalido nel 2020, comunicare dati personali negli Stati Uniti è divenuto complesso e meritevole di una valutazione caso per caso.
Per le aziende europee, specie per le piccole e medie, la situazione è complicata dal fatto che molti servizi digitali innovativi sono forniti da società statunitensi, che spesso non garantiscono l’allocazione dei dati personali in territorio UE, determinando un ulteriore passaggio burocratico di valutazione del rischio del quale spesso le aziende non sono a conoscenza. Le aziende del nostro territorio sono maggiormente esposte, vista anche la forte vocazione all’export di molte PMI reggiane.
Le PMI che hanno rapporti con soggetti esteri o che possiedono stabilimenti in paesi al di fuori dell’Unione Europea devono prestare la massima attenzione e verificare l’eventuale necessità di regolare questi rapporti in maniera conforme a quanto prescritto dal regolamento privacy (ad esempio, con clausole contrattuali ad hoc), dato che anche l’autorità italiana si è dimostrata attiva rispetto al trasferimento extra-UE anche nei confronti delle PMI – come nel caso del provvedimento Google Analytics, riguardante proprio un’azienda toscana di dimensioni modeste.
Per questo suggeriamo agli associati CNA Reggio Emilia di verificare se tra i propri fornitori – specialmente di servizi digitali – o clienti ci sono aziende statunitensi o comunque non residenti in UE, ovvero di valutare con attenzione qualsiasi rapporto di scambio di dati al di fuori dell’Unione Europea.
Per maggiori informazioni sui nostri servizi cyber security e di adeguamento privacy potete contattarci all’indirizzo e-mail: gdpr@cnare.it, al numero 0522 356340 o compilando il nostro questionario di primo contatto.
