Con decisione del 2.09.2022, l’Autorità irlandese per la protezione dei dati personali ha inflitto una sanzione di € 405 milioni a Meta Platforms Ireland Limited (Instagram) per aver violato il GDPR, imponendo una serie di misure correttive per tutelare adeguatamente la privacy dei minori.
La decisione è stata emessa al termine di un’approfondita indagine avviata nel 2020 in merito alle procedure di registrazione dei minori sul noto social network.
In particolare, il Garante irlandese ha potuto accertare che ai minori era consentito impostare il proprio account come business e di passare da un account personale a uno business. Così facendo però, venivano resi pubblici alcuni dati personali, come l’indirizzo mail o il numero di telefono. Al vaglio dell’Autorità anche l’impostazione pubblica predefinita degli account dei minori, che veniva applicata come impostazione di default.
Al termine dell’indagine, il Garante irlandese ha sottoposto le proprie conclusioni a tutte le Autorità di regolamentazione paritarie dell’UE (autorità di controllo interessate), ai sensi dell’articolo 60 del GDPR. Tuttavia, alla luce delle obiezioni sollevate da sei Autorità nazionali, si è reso necessario richiedere il parere vincolante del Comitato europeo per la protezione dei dati (“EDPB”).
Il 28 luglio 2022 l’EDPB ha emanato la propria decisione vincolante, respingendo una parte considerevole delle obiezioni sollevate dalle Autorità nazionali, ma ha accolto le obiezioni che richiedevano al Garante irlandese di accertare anche la violazione dell’articolo 6, paragrafo 1, del GDPR da parte di Instagram, relativo alle condizioni di liceità del trattamento di dati personali.
Pertanto, tenendo conto del parere vincolante dell’EDPB, il Garante irlandese ha sanzionato Meta per aver violato, tra gli altri, i principi di liceità, correttezza, trasparenza e minimizzazione del trattamento dei dati (art. 5 GDPR) e per non aver fornito un’informativa sufficientemente chiara e comprensibile ai minori (art. 12 GDPR).
Oltre alla sanzione amministrativa, è stato ordinato a Meta di attuare una serie di azioni correttive al fine conformarsi al GDPR.
Meta ha già annunciato che presenterà ricorso contro la decisione. Il colosso statunitense ha infatti sottolineato di aver modificato già da mesi le impostazioni e le procedure di registrazione degli utenti minori, proprio al fine di migliorare la sicurezza della piattaforma. La decisione del Garante quindi riguarderebbe impostazioni non più attuali.
Ilaria Feriti