Per la prima volta nella storia, la Commissione Europea è stata multata. Il motivo? Ha violato il GDPR, il regolamento comunitario per la protezione dei dati personali. La sanzione, seppur non così esagerata è comunque importante (ammonta a 400 euro). Il caso riguarda un cittadino tedesco che nel 2022 partecipò a una videoconferenza della piattaforma futureu, gestita dall’UE.
Il problema risiede nel metodo di accesso. L’utente si era autenticato tramite il proprio account Facebook. Questo ha comportato il trasferimento del suo indirizzo IP ai server di Meta negli Stati Uniti. Ciò ha violato le rigide regole europee sul trattamento dei dati personali. Le norme del GDPR stabiliscono infatti che, per trasferire informazioni fuori dall’Unione, il paese destinatario debba garantire un livello di protezione adeguato. A marzo di due anni fa gli Stati Uniti non rispettavano tali criteri. La Corte di Giustizia ha accertato che i dati dell’utente sono rimasti in Europa per quanto riguarda Amazon Web Services. Ciononostante, l’invio dell’indirizzo IP a Meta è stato giudicato una violazione grave.
Le implicazioni della multa
Questo caso solleva interrogativi importanti. Come può la Commissione Europea violare una normativa di sua creazione? Non si tratta solo di una multa simbolica. Il verdetto evidenzia lacune nei processi dell’istituzione che dovrebbe garantire l’applicazione delle regole. La richiesta del cittadino di ulteriori 800 euro per danni morali è stata respinta, così come l’annullamento dei dati personali inviati a Meta. La Corte ha però stabilito che anche un solo trasferimento illecito è sufficiente per giustificare una sanzione.
Cosa accadrà ora? L’Unione Europea ha due mesi e dieci giorni per presentare ricorso contro la sentenza. Questo caso, pur riguardando una somma esigua della multa, rappresenta una svolta storica. Dimostra che nemmeno le istituzioni europee sono al di sopra delle norme che regolano la privacy. Questa decisione avrà ripercussioni, ovviamente. L’UE dovrà migliorare i propri standard per garantire piena conformità al GDPR. Intanto, il caso potrebbe aprire la strada ad altre denunce contro pratiche simili. La protezione dei dati non è solo un principio astratto, ma un diritto concreto che ogni cittadino può rivendicare.