La Data Protection Commission (DPC) dell’Irlanda ha inflitto una multa di 17 milioni di euro a Meta per aver violato il Regolamento generale sulla protezione dei dati (GDPR). Al termine dell’indagine, avviata a fine 2018, il garante della privacy ha rilevato un errato trattamento dei dati personali degli utenti in relazione a 12 “data breach” che la stessa azienda di Menlo Park ha notificato all’autorità.
Meta non ha protetto i dati degli utenti
La DPC ha ricevuto da Meta non meno di 12 comunicazioni relative a data breach avvenuti tra il 7 giugno e il 4 dicembre 2018. Il garante ha quindi avviato un’indagine per verificare il rispetto degli articoli 5 (comma 1, lettera f), 5 (comma 2), 24 (comma 1) e 32 (comma 1). Al termine del procedimento è stata riscontrata la violazione degli articoli 5 (comma 2) e 24 (comma 1) del GDPR. Meta non ha attuato le misure tecniche e organizzative per dimostrare l’efficacia delle misure di sicurezza implementate per proteggere i dati degli utenti.
Un portavoce di Meta ha dichiarato:
Questa multa riguarda le pratiche di conservazione dei registri del 2018 che da allora abbiamo aggiornato, non una mancata protezione delle informazioni delle persone. Prendiamo sul serio i nostri obblighi ai sensi del GDPR e valuteremo attentamente questa decisione mentre i nostri processi continuano ad evolversi.
La DPC ha sottolineato che la decisione è stata presa in accordo con le altre autorità europee. Due di esse hanno sollevato alcune obiezioni, ma nel comunicato non vengono citati né i nomi né i motivi (probabilmente hanno chiesto una multa più alta). La sanzione di 17 milioni di euro è in effetti “una goccia nell’oceano”, visto che le entrate trimestrali globali di Meta superano i 32 miliardi di dollari e che la massima multa prevista è pari al 4%.
La sanzione è stata inflitta a distanza di quasi quattro anni dagli eventi segnalati. È chiaro quindi che la DPC non riesce a gestire i casi in tempi rapidi. Proprio per questa eccessiva lentezza, l’Irish Council for Civil Liberties (ICCL) ha denunciato il garante della privacy. ICCL aveva segnalato a fine 2018 che il sistema di advertising online di Google traccia le attività degli utenti, violando il GDPR, ma la DPC non ha ancora avviato un procedimento.