La Corte di giustizia dell’Unione europea è intervenuta in merito a una questione sollevata dalla…
Multa di 1,2 miliardi di euro per Facebook a seguito della decisione vincolante dell’European Data Protection Board

Bruxelles, 22 maggio – A seguito della decisione vincolante di risoluzione delle controversie dell’EDPB del 13 aprile 2023, Meta Platforms Ireland Limited (Meta IE) ha ricevuto una sanzione di 1,2 miliardi di euro a seguito di un’indagine sul suo servizio Facebook da parte dell’Autorità irlandese per la protezione dei dati (IE DPA) . Questa multa, che è la più grande sanzione GDPR di sempre, è stata imposta per i trasferimenti di dati personali di Meta negli Stati Uniti sulla base di clausole contrattuali standard (SCC) dal 16 luglio 2020. Inoltre, a Meta è stato ordinato di rendere conformi i suoi trasferimenti di dati con il GDPR.
Andrea Jelinek, presidente dell’EDPB, ha dichiarato: “L’EDPB ha ritenuto che l’infrazione di Meta IE sia molto grave in quanto riguarda trasferimenti sistematici, ripetitivi e continui. Facebook ha milioni di utenti in Europa, quindi il volume di dati personali trasferiti è enorme. La multa senza precedenti è un segnale forte per le organizzazioni che gravi violazioni hanno conseguenze di vasta portata”.
Nella sua decisione vincolante del 13 aprile 2023, l’EDPB ha incaricato l’IE DPA di modificare il suo progetto di decisione e di infliggere un’ammenda a Meta IE. Data la gravità dell’infrazione, l’EDPB ha ritenuto che il punto di partenza per il calcolo dell’ammenda dovesse essere compreso tra il 20% e il 100% del massimo legale applicabile. L’EDPB ha inoltre incaricato l’IE DPA di ordinare a Meta IE di rendere le operazioni di elaborazione conformi al Capitolo V GDPR, cessando l’elaborazione illecita, inclusa la memorizzazione, negli Stati Uniti dei dati personali degli utenti europei trasferiti in violazione del GDPR, entro 6 mesi dopo la notifica della decisione finale dell’IE SA.
La decisione finale dell’IE DPA recepisce la valutazione giuridica espressa dall’EDPB nella sua decisione vincolante, adottata sulla base dell’art. 65(1)(a) GDPR dopo che l’IE DPA, in qualità di autorità di controllo capofila (LSA), aveva avviato una procedura di risoluzione delle controversie in merito alle obiezioni sollevate da diverse autorità di controllo interessate (CSA). Tra gli altri, i CSA hanno emesso obiezioni volte a includere una sanzione amministrativa e/o un ordine aggiuntivo per rendere conforme il trattamento*.
La decisione finale presa dall’IE DPA è disponibile nel Registro delle decisioni prese dalle autorità di vigilanza e dai tribunali sulle questioni trattate nel meccanismo di coerenza .