Il 2 settembre 2022 il Garante per la privacy irlandese ha sanzionato la società Meta per violazione del GDPR in tema di trattamento dei dati personali degli utenti minorenni di Instagram: al centro dell’indagine l’impiego di account aziendali impostati in modo tale da rendere automaticamente pubbliche informazioni personali quali gli indirizzi e-mail e i numeri telefonici degli utenti. Il Comitato europeo per la Protezione dei Dati interviene sulla questione, dichiarando illecito per violazione dell’art. 6 comma 1 GDPR il trattamento dei dati realizzato dalla nota Big Tech statunitense, rendendo la prima decisione a livello europeo sui diritti dei minori in materia.
A seguito della decisione vincolante n. 2/2022 dello European Data Protection Board (EDPB), il Garante per la protezione dei dati personali irlandese (An Coimisiún um Chosaint Sonraí – Data Protection Commission), con una decisione finale pubblicata il 2 settembre 2022, ha sanzionato il social networking service Instagram, multando la società capofila Meta per 405 milioni di euro, a seguito della violazione del Regolamento Ue 2016/679 (General Data Protection Regulation – GDPR) riscontrata in relazione al trattamento dei dati personali di utenti minorenni di Instagram, i quali possono iscriversi alla piattaforma a partire dai 13 anni di età.
L’indagine è stata avviata dal Garante per la privacy irlandese il 21 settembre 2020, in risposta alla notifica di violazione dei dati personali inviata all’autorità da parte di un data analyst statunitense, David Stier, il quale sin dal 22 febbraio 2019 aveva riferito a Meta che gli indirizzi e-mail e i numeri telefonici di numerosi utenti europei di Instagram, tra cui anche minorenni, erano pubblicamente accessibili dal codice sorgente HTML della piattaforma. Come la stessa società ha chiarito, la diffusione di tali informazioni personali studiata da Stier tra il 29 ottobre 2018 e il 1 marzo 2019 non era avvenuta per via di un malfunzionamento del servizio, bensì tramite l’introduzione di account aziendali (business accounts), caratterizzati da un sistema di registrazione per cui le informazioni personali dell’utente erano impostate come «pubbliche» di default, consentendo di schermare l’account, rendendolo «privato», solo modificando le impostazioni predefinite.
Nelle osservazioni presentate da Meta nel corso dell’indagine, la società ha dichiarato di aver realizzato il trattamento dei dati degli utenti sulla base dell’art. 6 comma 1 lettera b) del GDPR, in virtù del quale il trattamento è lecito se «necessario all’esecuzione di un contratto di cui l’interessato è parte», dal momento che all’utente è sempre richiesto di accettare i termini di utilizzo della piattaforma prima di iscriversi. Per quanto attiene invece agli utenti minorenni, Meta ha sostenuto che in tale specifico caso il fondamento giuridico del trattamento corrispondesse all’art. 6 comma 1 lettera f) del GDPR, per cui, indipendentemente dall’età dell’utente, il trattamento è lecito se «necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi».
A seguito dell’indagine promossa a norma della sezione 110 del Data Protection Act 2018 irlandese, il Garante per la privacy ha pubblicato una proposta di decisione che il 3 dicembre 2021, a norma dell’art. 60 comma 3 del GDPR, è stata trasmessa alle «autorità di controllo interessate» per ottenere il loro parere sulla proposta. Dopo aver considerato obiezioni e commenti in merito alla base giuridica del trattamento dei dati perfezionato da Instagram e sulla determinazione della sanzione presentati dai Garanti per la privacy olandese, amburghese, norvegese, italiano, finlandese, francese, danese e portoghese, il DPC irlandese, in qualità di «autorità di vigilanza capofila», ha rimesso la questione al Comitato europeo per la Protezione dei Dati (European Data Protection Board – EDPB), perché risolvesse il conflitto sorto tra le diverse autorità nazionali sulla questione.
La decisione vincolante, assunta dall’EDPB in forza dell’art. 65 comma 1 lettera a) del GDPR, afferma che il Garante per la privacy irlandese non ha tenuto in sufficiente considerazione il fatto che i minori necessitano di tutele specifiche in tema di trattamento dei dati personali, in quanto dotati di un livello di consapevolezza inferiore rispetto agli adulti, considerando inoltre che nel caso in esame non avevano ottenuto alcuna informazione specifica sul funzionamento degli account aziendali, né avrebbero potuto ragionevolmente prevedere che l’utilizzo di tali account comportasse automaticamente la divulgazione dei propri recapiti, funzione ritenuta non «integrale» o «centrale» del servizio fornito da Instagram.
In ragione di tali considerazioni, l’EDPB ha ritenuto che l’art. 6 comma 1 lett. f) del GDPR non fornisse un adeguato fondamento giuridico del trattamento dei dati di utenti minorenni, in quanto gli utenti di account aziendali potevano essere contattati tramite messaggio sulla piattaforma stessa, mezzo di comunicazione meno intrusivo rispetto all’impiego di recapiti telefonici ed e-mail personali. Il trattamento dei dati si è dimostrato inutile e, laddove giustificato come necessario da Meta, gli interessi perseguiti dalla società sono stati considerati incompatibili con la tutela dei diritti dei minori. L’EDPB ha quindi ordinato al Garante per la privacy di modificare il progetto della decisione, al fine di affermare la violazione dell’art. 6 comma 1 GDPR da parte di Meta, avendo la società condotto il trattamento dei dati in via illecita.
Sul tema dell’importo della sanzione, al Garante per la privacy è stato richiesto di modificare il quantum della multa prevista a norma dell’art. 83, commi 1-2 GDPR, che impone all’autorità di infliggere un’ammenda efficace, proporzionata e dissuasiva, in considerazione della natura e della gravità della violazione, nonché del numero di soggetti coinvolti nella violazione del GDPR. La sanzione comminata dal Garante per la privacy irlandese a Meta per 405 milioni di euro segue per valore la multa di 746 milioni di euro irrogata ad Amazon nel 2021 da parte del Garante lussemburghese, e costituisce la terza sanzione comminata dall’autorità irlandese nei confronti di Meta, dopo la multa di 225 milioni di euro per Whatsapp e la multa di 17 milioni di euro per Facebook (in merito alla sanzione irrogata a Whatsapp, si veda qui).
La presente inchiesta contribuisce alla riflessione delle autorità europee riguardo all’applicazione della disciplina sulla protezione dei dati in materia di Big Tech e all’introduzione di un nuovo quadro normativo per una gestione responsabile dell’economia dei dati in Europa, come dimostrato da Digital Services Act, Data Act, Digital Markets Act e Artificial Intelligence Act. Quanto disposto dall’EDPB sottolinea che ogni organizzazione, indipendentemente dalle proprie dimensioni, deve considerare attentamente il fondamento legale del trattamento dei dati di cittadini europei, soprattutto sotto il profilo della trasparenza e della necessità del trattamento.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale