Garante irlandese multa Meta. La Data Protection Commission, ha sanzionato Meta per mancata conformità all’articolo 25 del GDPR. Non è la prima sanzione inflitta al colosso da garanti europei (es. questa riguarda Instagram), ma la prima che riguarda la privacy by design e privacy by default.  

Una sentenza importante, perché va a toccare aspetti della privacy spesso sottovalutati dai non addetti ai lavori. Se tematiche come la corretta informativa degli interessati e il diritto all’oblio sono, nel tempo, state percepite come elementi comuni, su altri aspetti del GDPR c’è ancora molto da fare in tema di “educazione alla privacy”.  Educazione alla privacy su cui sta puntando molto anche il nostro Garante che, il 23 Settembre 2022 ha firmato il “Manifesto di Pietrarsa“, un progetto completamente dedicato all’accrescimento della consapevolezza sul tema, già dalla tenera età. 

La sanzione, l’indagine

La maxi sanzione inflitta a Meta dal Garante irlandese pari a 265 milioni di euro,  è il frutto di un’indagine iniziata nell’Aprile del 2021 e la cui causa scatenante è stata la fuoriuscita di un numero cospicuo di dati da Facebook (furono coinvolti 533 milioni di utenti). Gli stessi dati, nomi, numeri di telefono e informazioni geografiche degli utenti colpiti, sono stati successivamente pubblicati su un canale web “undeground” e sul dark web 

Le infrazioni del GDPR

Le violazioni contestate dal Garante irlandese, come detto, riguardano gli articoli 25(1) e 25(2) del GDPR:

The decision, which was adopted on Friday, 25 November 2022, records findings of infringement of Articles 25(1) and 25(2) GDPR. The decision imposed a reprimand and an order requiring MPIL to bring its processing into compliance by taking a range of specified remedial actions within a particular timeframe. In addition, the decision has imposed administrative fines totalling €265 million on MPIL

La decisione, adottata venerdì 25 novembre 2022, registra la violazione dell’articolo 25, paragrafi 1 e 2, del GDPR. La decisione ha imposto una reprimenda e un ordine che impone a MPIL di rendere conforme il suo trattamento adottando una serie di azioni correttive specifiche entro un determinato periodo di tempo. Inoltre, la decisione ha imposto a MPIL sanzioni amministrative per un totale di 265 milioni di euro.

In sostanza, Meta, Facebook in particolare, è stato “carente” in ambito di privacy by design e defaultGDPR alla mano, non ha tenuto presente la protezione dei dati personali degli utenti sin dalla fase di progettazione:

Il principio della privacy by design richiede che la tutela dei diritti e delle libertà degli interessati con riguardo al trattamento dei dati personali comporti l’attuazione di adeguate misure tecniche e organizzative al momento sia della progettazione che dell’esecuzione del trattamento stesso, onde garantire il rispetto delle disposizioni del Regolamento UE 2016/679.

Inoltre, sempre per il Garante irlandese, Facebook non possiede una impostazione di default che, appunto, garantisca il trattamento dei dati strettamente necessari. Il tema in questione è toccato in pieno dal Principio di minimizzazione, presente nell’Art.5 del GDPR. 

L’indagine dell’Autorità irlandese

Come precisato dall’Autorità, l’indagine ha avuto inizio nell’Aprile del 2021, ed è scaturita da segnalazioni che riscontravano la presenza di dati personali di ignari utenti Facebook sul dark web ed alcuni forum on line. File ottenuti attraverso l’attività di data scraping, ovvero l’estrazione, quasi sempre massiva, di dati da un sito web o social network. Lo scraping è, in sostanza, una sorta di copia/incolla di dati – il caso Facebook riguarda questa “tecnica”. 

 L’oggetto dell’indagine della Data Protection Commission

La DPC (Data Protection Commission), in particolare, ha posto sotto la lente d’ingrandimento alcuni strumenti del social network: Facebook Search, Facebook Messenger Contact Importer e Instagram Contact Importer, tutte funzionalità del social contenenti dati personali degli utenti. Il periodo analizzato è quello che va dal Maggio 2018 a Settembre 2019. Le indagini hanno verificato la non conformità proprio di questi strumenti, carenti dal punto di vista dell’aspetto progettuale e di tutela della privacy. 

Una decisione collegiale 

Nel comunicato del Garante irlandese si legge che il processo d’indagine ha coinvolto anche le altre Autorità dell’UE, che hanno concordato con la decisione. Una cooperazione tra Autorità, prevista dall’art. 60 del GDPR, fondamentale per portare avanti indagini in cui i Garanti, coordinati da un Garante capofila (in questo caso quello irlandese), si scambiano informazioni e opinioni, per arrivare ad un parere congiunto. Oltre alla sanzione il Garante ha ordinato a Meta di rendere conforme il suo trattamento. Richiesta di conformità che Meta, nella sua difesa, ha affermato di aver già preso in carico. Vediamo perché. 

Il commento di Meta

I dati fuoriusciti da Facebook risalgono al periodo 2018/2019, l’azienda ritiene di essere intervenuta ad apportare modifiche nei propri sistemi per evitare lo scraping non autorizzato, subito dopo aver preso atto della problematica.  Con questa base difensiva, l’azienda presumibilmente andrà in appello per tentare perlomeno una riduzione delle sanzioni. 

 Art.25 del GDPR, considerazioni

L’articolo chiamato in causa dal Garante impone:

Protezione dei dati per impostazione predefinita e fin dalla progettazione.

Principi in questo caso evidentemente non rispettati. Facendo un esempio, la facilità con cui è stato effettuato lo scraping di dati, evidenzia come la privacy non fosse parte integrante delle funzionalità dei sistemi. In sostanza, nella configurazione degli applicativi di Facebook chiamati in causa dal Garante, è risultato molto carente – se non assente – un cardine del concetto di privacy by design, la pseudonimizzazione. Gli autori del furto di dati hanno avuto, infatti, vita facile nell’identificazione dell’utente e dei suoi dati. 

L’importanza della pseudonimizzazione

La pseudonimizzazione è:

Il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile (AltalexPedia)

In sostanza, gli autori dello scraping, estrapolando i dati dal Social si sono ritrovati in mano non nickname, non codici numerici da associare ad informazioni conservate separatamente, ma nomi, cognomi, ecc.

Le sanzioni a Meta

Quella della DPC non è l’unica sanzione di rilievo inflitta a Meta ma, come detto, la prima a coinvolgere la privacy by design e by default. Risale a Settembre 2022 una sanzione, sempre del Garante irlandese, di 405 milioni di euro per carenze sulle policy di trattamento dei dati dei minori, in particolare negli account business del social che permetteva la registrazione anche a soggetti nella fascia di età 13-17 anni. Ancora, nel Marzo di quest’anno, sempre dal garante irlandese, è arrivata a Meta una sanzione di 17 milioni di euro per errori sulla sicurezza che hanno portato ad un imponente data breach. In un nostro articolo di qualche tempo fa abbiamo analizzato la sanzione sempre della DPC di 225 milioni di euro e comminata ad un’altra applicazione proprio di “casa” Meta, Whatsapp.

Considerazioni

L’aspetto che più colpisce di questa vicenda, non è tanto legato all’ennesima sanzione ricevuta da Meta ma, come detto, le motivazioni legate alle impostazioni di sicurezza in ambito Privacy by design e default. La domanda resta: se un gigante come Meta è risultato carente sotto questo aspetto, a livello generale come siamo messi in quella che abbiamo definito “educazione alla privacy”?

Jaera team

Jaera team

Jaera S.r.l. si occupa di consulenza aziendale in ottica compliance e di nomina di specifiche funzioni aziendali, di consulenza in informatica e formazione.