La Commissione Europea è stata sanzionata per non aver rispettato il Regolamento Generale sulla Protezione dei Dati (GDPR), segnando un precedente significativo in materia di privacy. La vicenda riguarda un cittadino tedesco che nel 2022 si è autenticato con il proprio account Facebook per accedere alla piattaforma FutureU, utilizzata per la videoconferenza GoGreen.
La questione e la sanzione
Secondo l’accusa, i dati personali dell’utente sarebbero stati trasferiti a Meta e Amazon negli Stati Uniti senza le garanzie richieste dal GDPR. Questo regolamento impone infatti che i trasferimenti di dati verso paesi terzi siano subordinati a standard adeguati di protezione. All’epoca dei fatti, gli Stati Uniti non rientravano tra i paesi considerati sicuri dall’Unione Europea.
La Corte di Giustizia dell’Unione Europea ha confermato la violazione per quanto riguarda il trasferimento dell’indirizzo IP dell’utente ai server di Meta negli Stati Uniti, giudicandola contraria al GDPR. La Commissione Europea è stata quindi multata per 400 euro, a favore del cittadino coinvolto. Tuttavia, altre accuse, come il presunto trasferimento di dati verso i server statunitensi di Amazon Web Services, sono state respinte: la Corte ha stabilito che le informazioni sono rimaste nei confini dell’Unione Europea, su un server situato a Monaco di Baviera.
Richieste e decisioni della Corte
Il cittadino aveva chiesto un risarcimento di 800 euro per danni morali, oltre all’annullamento del trasferimento dei suoi dati personali. La Corte ha respinto entrambe le richieste: l’annullamento è stato ritenuto irrealizzabile, mentre il risarcimento è stato giudicato non giustificato. La violazione legata al trasferimento verso Meta è stata però considerata grave al punto da giustificare la sanzione economica.
Prospettive future
La Commissione Europea ha la possibilità di contestare la decisione, presentando ricorso entro due mesi e dieci giorni. Questa vicenda sottolinea l’importanza di garantire il rispetto del GDPR anche all’interno delle istituzioni europee e potrebbe avere implicazioni rilevanti per il trattamento dei dati personali da parte delle piattaforme digitali.
