Molti effetti della definitiva efficacia del GDPR, fissata a partire dal 25 maggio prossimo, tarderanno a farsi sentire. Le persone ancora non hanno abbastanza consapevolezza dei diritti che possono far valere e molti titolari del trattamento sottovalutano il peso della nuova normativa.
Mark Zuckerberg, invece, è subito corso ai ripari, anche in barba alle rassicurazioni ed alle promesse che ha progressivamente esternato in questi mesi.
La questione riguarda la localizzazione dei server che contengono i profili dei due miliardi (e più) di utenti di Facebook. Il GDPR si applica:
• a tutti gli interessati che sono cittadini di un paese dell’Unione Europea, a prescindere dalla sede del titolare del trattamento;
• a tutti gli interessati il cui titolare sia un soggetto residente in un paese dell’Unione Europea.
Ora, si da il caso che Facebook tratteneva i dati dei suoi utenti presso una società controllata con sede in Irlanda, precisamente Facebook Ireland. Essendo, quindi, il titolare del trattamento una società europea, Facebook avrebbe dovuto assicurare, a partire dal 25 maggio, l’applicazione del GDPR a tutti i suoi utenti, sia europei sia extraeuropei. Invece, si è sottratta all’applicazione del GDPR, per quanto è stato possibile: ha trasferito i dati personali degli utenti extraeuropei presso i server statunitensi (circa 1,5 miliardi di profili) ed ha lasciato in Irlanda quelli dei cittadini europei. Infatti, un trasferimento di questi dati sarebbe risultato del tutto inutile perché gli interessati europei sono sempre tutelati dal GDPR, ovunque siano trattati i loro dati personali.
Facebook ha preferito portare i dati in un porto sicuro piuttosto che impegnarsi seriamente a tutelarli.