NEWS

Twitter, verdetto in arrivo dai Garanti Privacy dell’UE: ora i giganti del web tremano

Tutti i nodi stanno venendo al pettine per Twitter, e probabilmente anche per le altre big tech non troppo rispettose della privacy che avevano individuato l’Irlanda come una specie di zona franca per mitigare in qualche modo i rischi delle sanzioni milionarie previste dal Gdpr.

Con l’introduzione del nuovo Regolamento UE sulla protezione dei dati personali, due anni e mezzo fa Twitter e la maggior parte dei giganti del web avevano infatti approfittato della regola del "one stop shop", che consentiva loro di stabilire la propria sede europea in Irlanda per avere a che fare con una sola “autorità capofila” per la privacy, che in molti casi sarebbe coincisa con quella di una nazione già per loro vantaggiosa anche dal punto di vista fiscale.

Privacy, guai in arrivo per twitter nella UE

Tutto sembrava filare liscio per le grandi società tecnologiche statunitensi che finora proseguivano come se nulla fosse nei loro business miliardari basati sullo sfruttamento dei dati personali senza incappare in semafori rossi, con l’autorità di controllo irlandese che con molta lentezza aveva avviato 19 indagini, senza però portarne a termine neppure una, e di conseguenza senza irrogare alcuna sanzione nei loro confronti.

Fino a quando, un caso riguardante Twitter non prende una piega imprevista. I fatti risalgono al gennaio del 2019, quando emerge che una parte di utenti del noto social di microblogging che vogliono tutelare maggiormente la loro privacy impostano la funzione "Proteggi i tuoi tweet", ma proprio così facendo i loro dati personali vengono invece esposti a loro insaputa a rischio di violazioni a causa di un bug esistente fin dal 2014.

Ma poiché nel frattempo è entrato in vigore il Gdpr, Twitter avrebbe dovuto notificare il “data breach” al garante irlandese entro 72 ore dal momento della scoperta, adempimento che a quanto pare non viene espletato così tempestivamente dalla società americana.

E quando lo scorso maggio l’autorità per la privacy della Repubblica d’Irlanda pare finalmente giungere a capo della vicenda, ben 11 delle altre autorità europee per la protezione dei dati interessate dal caso si oppongono però al progetto di decisione da adottare nei confronti di Twitter presentato dalla loro omologa irlandese, (il cui non digerito contenuto è rimasto finora riservato), rispedendo al mittente la proposta accompagnata da obiezioni "pertinenti e motivate".

Nicola Bernardi, presidente di Federprivacy

(Nella foto: Nicola Bernardi, presidente di Federprivacy)

Trovandosi nell’imbarazzo di dover decidere se allinearsi o meno alle posizioni indicate dalle altre autorità di controllo, a quel punto l’autorità irlandese guidata da Helen Dixon, come un moderno Ponzio Pilato preferisce deferire la questione al tavolo dell’European Data Protection Board, innescando in tal modo un complesso meccanismo di risoluzione delle controversie previsto dall’art.65 del Regolamento UE 2016/679, che il 9 novembre 2020 sfocia, per la prima volta da quando è entrato in vigore il Gdpr, in una decisione vincolante adottata a maggioranza dei due terzi dei membri del comitato delle autorità europee.

Anche se ancora non è dato ancora conoscerne i contenuti, il verdetto finale del provvedimento che colpirà Twitter è già stato deciso, e a breve (al più tardi entro un mese) sarà prima comunicato senza ingiustificato ritardo al destinatario da parte del garante irlandese, che in questo caso sarà giocoforza poco più di un mero ambasciatore, per poi essere pubblicato sul sito istituzionale dell’European Data Protection Board, e il rischio è che sulla società del social del cinguettio si abbatta una pesante sanzione che potrebbe arrivare fino a 69 milioni di dollari, pari al 2% del suo fatturato annuo globale.

Se è vero che le misure che saranno presto adottate dalle autorità europee potrebbero essere alquanto dolorose per Twitter, la sensazione è che non ci si trovi tanto di fronte all’epilogo di un caso isolato quanto ad una svolta che impatta invece su tutte quelle multinazionali del web che a suo tempo avevano scelto di stabilire la loro sede europea in Irlanda auspicando forse di poter beneficiare di un occhio di riguardo, le quali devono adesso invece prendere atto che, a parte ottenere qualche strategica "melina", se violano la privacy degli utenti dell’UE non potranno poi sottrarsi alle multe previste dal Gdpr.

Note Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev La pandemia rallenterà l'espansione della lista dei paesi considerati ‘adeguati’?
Next Dati personali e 'Brexit' prima e dopo il periodo transitorio

Cyber e Privacy Forum 2023, il trailer dell'evento

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy