A distanza di oltre 17 mesi dall’avvio dell’indagine, la DPC (Data Protection Commission) dell’Irlanda ha inflitto a Meta una sanzione di 265 milioni di euro per la violazione del GDPR (Regolamento generale sulla protezione dei dati). La colpa dell’azienda di Menlo Park è non aver messo in atto le misure tecniche per evitare lo scraping dei dati da Facebook.
Nessuna protezione per design e default
All’inizio di aprile 2021, un database con oltre 533 milioni di dati (inclusi i numeri di telefono) era stato pubblicato su un forum del dark web. Sfruttando una vulnerabilità nel tool di importazione dei contatti (risolta nel 2019), che consentiva di trovare corrispondenze negli account del social network, qualcuno ha raccolto diverse informazioni degli utenti. Lo scraping è avvenuto tra maggio 2018 e settembre 2019.
Una parte dei dati era stata già condivisa online in precedenza, ma all’epoca non c’era ancora il GDPR. In seguito alla (ri)pubblicazione, Meta doveva inviare una segnalazione, ma non ha informato né le autorità europee né gli utenti interessati. Per questo motivo, la DPC irlandese aveva avviato un’indagine.
Dopo aver esaminato il caso in collaborazione con le altre autorità europee, la DPC ha irrogato a Meta una sanzione di 265 milioni di euro per la violazione dell’art. 25, commi 1 e 2, del regolamento generale sulla protezione dei dati, in base ai quali l’azienda di Menlo Park doveva progettare il servizio in modo da garantire la protezione per design e default.
Un portavoce di Meta ha dichiarato che lo scraping non è più possibile e che verrà esaminata la decisione per valutare se presentare appello. La DPC ha inflitto altre multe all’azienda californiana nel 2022: 405 milioni di euro a settembre e 17 milioni di euro a marzo. Un’altra sanzione di 225 milioni di euro è stata irrogata a settembre 2021. La somma totale è quindi 912 milioni di euro.