Perché la Commissione Ue è sotto processo per violazione delle (sue) norme sulla protezione dei dati? di Giulia Alfieri

Un cittadino tedesco ha citato in giudizio la Commissione Ue. L’accusa è di aver violato il Regolamento generale sulla protezione dei dati (GDPR) attraverso uno dei suoi siti che utilizza Amazon Web Services. Tutti i dettagli

Può proprio la Commissione europea violare le norme sulla protezione dei dati? Secondo un cittadino tedesco, rappresentato dall’associazione Europäische Gesellschaft für Datenschutz (EuGD), sì. IL SITO UE COINVOLTO Il querelante ha denunciato l’istituzione per aver assegnato l’hosting del suo sito web Conference of the Future of Europe ad Amazon Web Services (AWS). Conference of the Future of Europe è una piattaforma che vuole dare voce ai cittadini europei attraverso un’ampia consultazione pubblica in modo che possano esprimere le loro aspettative nei confronti dell’Unione europea su democrazia, energia e transizione digitale. L’ACCUSA L’accusa riguarda il fatto che il sito è ospitato da AWS pertanto, al momento della registrazione, i dati personali, come l’indirizzo IP, vengono trasferiti negli Stati Uniti – violando così, secondo il querelante, il Regolamento generale sulla protezione dei dati (GDPR). Un regolamento, scrive Siècle Digital, “che tuttavia viene difeso con le unghie e con i denti dalla Commissione europea”. Poiché la Commissione Ue è l’operatore del sito web, il querelante ha chiesto informazioni sulle modalità di trattamento dei dati personali e non avendo ottenuto un esaustivo riscontro ha accusato l’istituzione anche di non divulgare “informazioni sufficienti” circa le sue pratiche di trattamento dei dati. A questo si aggiunge parallelamente anche il reclamo che l’EuGD ha presentato al Garante europeo della protezione dei dati (GEPD), l’autorità competente per l’applicazione delle norme sulla protezione dei dati da parte delle istituzioni dell’Ue. Tuttavia, riferisce Euractiv, questo ha sospeso le indagini perché è in corso una causa. L’OMBRA DI FACEBOOK Inoltre, Conference of the Future of Europe consente agli utenti di accedere anche tramite il proprio account Facebook, già “contestato per il trasferimento illegale di dati personali negli Stati Uniti, e un reclamo a questo proposito è attualmente in corso di esame da parte del Commissario irlandese per la protezione dei dati”, scrive Euractiv. A QUANDO LA SENTENZA Dopo aver presentato il ricorso al Tribunale Ue, il caso verrà esaminato e la decisione è prevista entro 12-18 mesi. COSA PREVEDE LA NORMATIVA I trasferimenti internazionali di dati oltreoceano, spiega Euractiv, sono stati dichiarati illegali dalla Corte di giustizia dell’Ue due anni fa nella storica sentenza Schrems II, definendo così l’interpretazione del GDPR. La giurisdizione americana, si legge nell’articolo, “è stata ritenuta inadeguata per quanto riguarda la protezione dei dati, in quanto i servizi segreti statunitensi potevano accedere ai dati personali dei residenti Ue in modo sproporzionato e senza alcun rimedio giudiziario”. UN NUOVO PRIVACY SHIELD ALL’ORIZZONTE Nel marzo 2022, aggiunge Siècle Digital, il presidente Usa, Joe Biden, “ha fatto un passo verso l’Ue nel tentativo di risolvere questa annosa disputa tra i due continenti”. L’obiettivo di un nuovo accordo – per rimpiazzare il Privacy Shield – sarà quello di impedire alle autorità statunitensi di accedere ai dati dei cittadini europei, anche se ospitati da un fornitore di cloud statunitense come AWS. PREVISIONI SULL’ESITO DEL CASO Il GDPR non si applica direttamente alle istituzioni Ue, che sono vincolate da un regolamento simile ma, secondo Euractiv, si prevede che con questa denuncia l’effetto della sentenza Schrems II venga esteso anche a loro. IL PARERE DELL’EuGD “La causa contro la Commissione europea è un segnale per la protezione dei dati in Europa – ha detto Thomas Bindl, fondatore della EuGD -. Anche se una sentenza del Tribunale non fornirà linee guida dirette per la giurisprudenza in Germania, Spagna o altri Paesi, la riteniamo molto importante. Sarebbe un chiaro segnale che tutti devono attenersi ai requisiti di protezione dei dati”. Per Bindl, infatti, “se un ristorante o un panificio deve trovare un modo per rispettare il divieto di trasferimento dei dati verso gli Stati Uniti, lo deve fare anche la Commissione europea, perché non ci possono essere due pesi e due misure”.

dati