In seguito alla sentenza “Schrems II” e al venir meno del Privacy Shield, le inevitabili reazioni da parte delle Big Tech statunitensi non hanno tardato ad arrivare. Facebook Ireland ha ad esempio continuato a svolgere tutte le attività di esportazione dei dati personali degli utenti dei propri servizi verso gli Stati Uniti ricorrendo alle clausole contrattuali tipo (SCCs). Leggendo la privacy policy emerge chiaramente che il trasferimento è svolto tramite SCCs, ma non è l’unico punto degno di nota. Infatti, il passaggio “I dati trasferiti sono necessari per fornire i servizi descritti nelle Condizioni di Facebook e nelle Condizioni di Instagram e per gestire e offrire a livello globale i nostri Prodotti” sembrerebbe indicare anche la deroga di cui all’art. 49.1 lett. b) GDPR, in forza della quale il trasferimento può essere svolto pur in assenza di una decisione di adeguatezza o garanzie adeguate (fra cui rientrano le SCCs) se è “necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento (…)”.
Nel mentre, l’istruttoria aperta dall’autorità di controllo irlandese (DPC – Data Protection Commission) verso Facebook Ireland ha però investito la validità delle operazioni di trasferimento fondate sulle SCCs, dal momento che il ricorso a tale base per il trasferimento non può consistere, di fatto, in un mero transito formale dal Privacy Shield. Tutt’altro: deve essere svolta una valutazione in concreto delle circostanze al fine di integrare alcune misure supplementari atte a garantire un livello di protezione adeguato e assicurare la non interferenza da parte della normativa statunitense. Tale è infatti la portata sostanziale della decisione della Corte di Giustizia dell’Unione Europea circa le tutele che devono essere assicurate nel caso di trasferimenti al di fuori dello SEE e, in particolar modo, verso gli Stati Uniti.
All’ingiunzione da parte dell’autorità di controllo irlandese nei confronti di Facebook con l’ordine di sospensione dei trasferimenti verso gli Stati Uniti, è seguito prontamente l’appello della società alla High Court per una revisione del provvedimento.
Nick Clegg, vicepresidente degli affari globali e della comunicazione di Facebook, ha apertamente sollecitato un intervento di Stati Uniti e Unione Europea verso un “Privacy Shield Plus” al fine di continuare a garantire gli scambi internazionali di dati, prospettando scenari catastrofici in caso si prosegua con l’approccio delineato dal DPC per tutti i servizi digitali, ivi inclusi quelli che investono settori fondamentali (quali, ad esempio: educazione, sanità, mercato del lavoro).
Sebbene Facebook abbia negato di voler lasciare il mercato europeo, è evidente che l’escalation del dibattito sarà destinata ad orbitare attorno ad un punto nevralgico, con una domanda fondamentale: l’Europa può fare a meno di Facebook? Non è detto che la risposta sia né sarà così scontata.
