È di 405 milioni di euro l’ultima sanzione comminata a Meta dal Garante irlandese, dopo che sulla questione si è pronunciato, lo scorso 28 luglio 2022, anche il Comitato europeo per la protezione dei dati – EDPB – con una decisione vincolante (Binding Decision).
Al colosso statunitense, nello specifico alla sua piattaforma social Instagram, è stata contestata la diffusione illecita di indirizzi mail e/o numeri di telefono di minori che hanno usufruito delle funzionalità di Instagram Business e l’impostazione pubblica predefinita (by default) per gli account personali di minori.
Sulla questione sono state coinvolte numerose Autorità, fra le quali anche il Garante italiano, in considerazione della portata dei trattamenti effettuati dalla piattaforma social, ed il relativo impatto della decisione sugli interessati di differenti stati membri. Autorità capofila, come anticipato, quella irlandese.
Vale la pena ricordare che qualora siano sollevate obiezioni, pertinenti e motivate, al progetto di decisione della capofila da parte delle altre Autorità, e queste non siano accolte, l’Autorità capofila ha l’obbligo di sottoporre la questione al meccanismo di coerenza che prevede l’intervento dell’EDPB quale risolutore di eventuali controversie fra le autorità cooperanti (art. 65 GDPR). Da qui, la Binding Decision dell’EDPB sulla questione, a seguito della quale l’Autorità irlandese ha adottato la propria decisione.
Quali sono i fatti che hanno portato a questa ingente sanzione?
Partiamo dalla diffusione delle informazioni di contatto.
Nel 2016 Instagram introduce la possibilità per i propri utenti iscritti di attivare l’account business, la cui creazione o passaggio comporta l’obbligo, anche per gli utenti minorenni, di pubblicare alcune informazioni di contatto sul proprio profilo. Nel settembre del 2019, quest’obbligo viene rimosso, e gli utenti sono quindi liberi di scegliere se pubblicare o meno i propri dati di contatto.
Meta ha individuato una duplice base giuridica per questo trattamento, da una parte l’esecuzione di un contratto concluso al momento dell’accettazione dei termini di utilizzo, dall’altra, il perseguimento di un legittimo interesse, individuato nella promozione di attività (commerciali). Il Garante irlandese, nella sua bozza di decisione, non aveva ravvisato violazioni in merito alla scelta delle basi giuridiche, al contrario invece di molte Autorità coinvolte che hanno obiettato la validità delle stesse, qualificando pertanto il trattamento effettuato dalla società come illecito.
Nella Binding Decision, l’EDPB accoglie le obiezioni presentate dalle Autorità coinvolte, affermano che né l’esecuzione del contratto, né l’interesse legittimo possono essere utilizzate come valide basi giuridiche per la pubblicazione dei dati di contatto di minori. L’EDPB, peraltro, non ravvisa sia rispettato il requisito di necessità ai fini dell’esecuzione del contratto, anche in considerazione della successiva decisione di Meta di rimuovere tale obbligo, nonché la mancanza di una ragionevole aspettativa, dei minori, alla pubblicazione dei propri dati tenendo in considerazione il loro utilizzo della piattaforma e le non chiare informazioni fornite da Meta in merito al trattamento dei dati.
Per quanto concerne il legittimo interesse, l’EDPB ritiene che il Garante irlandese, sempre nella sua bozza di decisione, non abbia svolto una valutazione esauriente sul bilanciamento degli interessi e diritti in gioco e che il legittimo interesse utilizzato alternativamente all’esecuzione del contratto, in caso di non applicabilità di quest’ultimo per i minori, possa rappresentare un tentativo di aggirare la normativa posta a protezione dei minori stessi. Si tratta anche qui, afferma il Comitato, di una mancanza di necessità del trattamento, dell’assenza di chiare informazioni fornite ai minori e della prevalenza dei loro diritti e le libertà rispetto agli interessi perseguiti da Meta.
L’Autorità irlandese ha quindi emesso il provvedimento sanzionatorio tenendo in considerazione che nessuna delle basi giuridiche prospettate può essere legittimamente utilizzata da Meta per quest’attività di trattamento.
Passiamo ora all’impostazione pubblica by default.
Gli account di Instagram, al momento della creazione, avevano come impostazione predefinita quella pubblica, con la possibilità di rendere il profilo privato solo in un secondo momento. Nel caso di profili pubblici, i contenuti presenti negli account sono visibili a tutti, compresi i non iscritti al social, mentre nel caso di profili privati, solo le persone autorizzate dall’utente possono visualizzare i contenuti caricati. Di questa impostazione predefinita Meta ne dà nota, nella sua Data Policy, sia nel 2018 che nel 2020 tuttavia, le modalità con le quali informa gli interessati (rimandi, link e sottosezioni) sono considerate in violazione dei principi di trasparenza e chiarezza. Sul punto l’EDPB ritiene che, nonostante qualche obiezione da parte delle altre Autorità coinvolte, la posizione del Garante irlandese sia corretta.
Per quanto riguarda l’ammontare della sanzione l’EDPB, oltre a ricordare le proprie Linee Guida in merito al calcolo, ha accolto alcune delle obiezioni delle altre Autorità, che lamentavano la mancanza di effettività, proporzionalità e dissuasività della sanzione, data soprattutto dalla mancata considerazione del beneficio finanziario conseguito da Meta con la violazione della normativa. Concordando sull’obiezione, l’EDPB ha quindi ingiunto al Garante irlandese di stimare con più precisione la portata del beneficio ottenuto operando, qualora necessario, correzioni all’ammontare della sanzione, al fine di assicurare il rispetto dei principi di effettività, proporzionalità e dissuasività della stessa. Il Garante irlandese ha perciò rivalutato l’ammontare della sanzione conformandosi alle indicazioni impartite dal Comitato, sanzionando Meta per 405 milioni di euro.
Le violazioni di Meta toccano diversi punti tra i quali la mancanza di trasparenza e di una base giuridica per un lecito trattamento, la mancata verifica del corretto bilanciamento degli interessi e diritti in gioco considerando soprattutto la presenza di un numero ingente di minori, nonché la mancanza di protezione dei dati come impostazione predefinita.
L’ammontare della sanzione irrogata dall’Autorità irlandese, oltre a far riflettere sui concetti di “proporzionalità e dissuasione” della stessa, sottolinea la sempre crescente attenzione da parte delle autorità di controllo rispetto ai trattamenti di dati personali dei minori raccolti, in particolare, dai social network. È bene ricordare infatti che il minore è considerato, ai sensi del GDPR, soggetto “vulnerabile” e, come tale, meritevole di specifica (da leggersi come “maggiorata”) protezione rispetto ai rischi derivanti da potenziali trattamenti illeciti dei loro dati. La semplicità di accesso ai servizi dell’informazione, da parte dei minori, deve essere sempre accompagnata da un’attenta valutazione, da parte del Titolare del trattamento, dei rischi per i diritti e le libertà fondamentali delle categorie “vulnerabili” di interessati. Il Titolare, infatti, non solo è chiamato ad adottare misure efficienti ed efficaci per garantire un livello di sicurezza adeguato al rischio, ma deve anche essere in grado di dimostrare di aver effettuato tale valutazione di adeguatezza.
Laddove ciò non avvenga, è dovere delle autorità di controllo intervenire adottando, se necessario, sanzioni che si rivelino effettive, proporzionate e dissuasive.