Lo scorso 8 Gennaio 2025 la Corte di Giustizia EU ha incredibilmente sanzionato la Commissione Europea, con la sentenza della Sesta Sezione Ampliata (T‑354/22) per un caso legato al trasferimento internazionale dei dati in violazione del Capo V del GDPR effettuato nel 2022, quando ancora gli USA non godevano della Decisione di adeguatezza EU “Data Privacy Framework” del 10 Luglio 2023.

Infatti la stessa Corte, a seguito del dichiarazione di non validità del 16 luglio 2020, aveva invalidato il precedente accordo “Privacy Shield” e in quel periodo vigeva una “Vacatio Legis” che non rendeva sicuri tutti i trasferimenti di dati verso gli USA poiché non ritenuti “Adeguati” dalla stessa EU. E non era la prima volta che la CGE si pronunciava in merito alla invalidità di queste tipologie di decisioni ex art 45 GDPR, infatti già il Il 6 ottobre 2015 la Corte si pronunciava invalidando la precedente decisione di adeguatezza “Safe Harbor” del 2000, creando un’altra VL sino al 2020.

Il tutto è nato da una videoconferenza seguita da un cittadino tedesco, la “GoGreen” sulla piattaforma futurEU del sito “Conference on the Future of Europe” a cui ha avuto accesso utilizzando il login tramite il proprio account Facebook, piattaforma social statunitense. Ed è proprio il metodo di login proposta per l’accesso a essere la causa di questa sanzione: secondo il diretto interessato le sue informazioni personali sarebbero state inviate a Meta e Amazon negli Stati Uniti senza le adeguate garanzie descritte nel GDPR, in particolare indirizzo IP, informazioni su browser e sul dispositivo in uso.

Il ricorrente cittadino EU aveva chiesto un risarcimento di 400 euro per danni morali rispettivamente ad Amazon Web Services che a Meta, dato che il danno potenzialmente riscontrabile sui suoi dati personali era rappresentato dall’accesso dell’Intelligence tramite i server dei due grandi player americani. Il caso è stato denunciato alla CGE richiedendo un compenso di totali 800 euro come danno morale per il rigetto della richiesta di informazioni rivolta alla Commissione Europea oltre che l’annullamento del trasferimento dei dati personali.

La Corte, analizzando il caso, ha concluso che non c’è stato alcun trasferimento verso i server statunitensi di Amazon Web Services, che ospita il sito della videoconferenza, dato che gli stessi si trovano all’interno del territorio EU in un server a Monaco.

Situazione diversa invece per l’accusa di aver trasferito l’indirizzo IP del cittadino EU, notoriamente considerato dalle autorità privacy EU un dato personale, ai server di Meta in USA, cosa che invece è avvenuta senza le giuste garanzie previste dall’art. 45 del GDPR. La Commissione Europea dovrà quindi pagare un risarcimento di 400 euro per i danni subìti a seguito della violazione del Regolamento. La decisione potrà essere impugnata davanti alla Corte di Giustizia entro due mesi e dieci giorni dalla notifica, con apposito ricorso.

La somma in questione può considerarsi assolutamente irrisoria, ma la decisione di condannare la Commissione Europea assume sostanzialmente la portata di un grande ammonimento simbolico.

Massimo Bruno