La società madre di Facebook, Meta, è stata multata di 265 milioni di euro dalla Commissione irlandese per la protezione dei dati (DPC) a seguito di una violazione dei dati che ha visto i dati personali di centinaia di milioni di utenti di Facebook pubblicati online.
Nell’aprile 2021, il DPC ha avviato un’indagine dopo che dati inclusi nomi, numeri di telefono e indirizzi e-mail di un massimo di 533 milioni di utenti sono apparsi su un forum di hacking online.
Facebook ha affermato all’epoca che le informazioni, alcune delle quali erano già apparse online diversi anni fa, erano state “scraped”, ma non violate, da malintenzionati attraverso una vulnerabilità nei suoi strumenti prima di settembre 2019.
Lo “Scraping” utilizza un software automatizzato per prelevare informazioni pubbliche da Internet che possono poi finire per essere distribuite nei forum online. Il social network ha affermato di aver corretto la vulnerabilità nel 2019, impedendo la raccolta di ulteriori dati.
Nell’ambito della sua indagine, la Commissione per la protezione dei dati personali ha effettuato un esame e una valutazione degli strumenti Facebook Search, Facebook Messenger Contact Importer e Instagram Contact Importer in relazione al trattamento effettuato da Meta nel periodo compreso tra il 25 maggio 2018 e settembre 2019.
I materiali in questione nell’indagine riguardavano questioni di conformità con l’obbligo del regolamento generale sulla protezione dei dati (GDPR) per la protezione dei dati fin dalla progettazione e per impostazione predefinita. Meta è stata trovata in violazione dell’articolo 25 delle regole GDPR.
“Poiché questo set di dati era così grande, poiché c’erano stati precedenti casi di scraping sulla piattaforma in cui i problemi avrebbero potuto essere identificati in modo più tempestivo, alla fine abbiamo imposto una sanzione significativa“, ha affermato Helen Dixon, Commissario per la protezione dei dati.
“I rischi sono considerevoli per le persone in termini di truffa, spamming, smishing, phishing e perdita di controllo sui propri dati personali, quindi abbiamo imposto una multa di 265 milioni di euro in totale”, ha affermato Dixon.
Oltre alla multa, a Meta è stato emesso un rimprovero e un ordine che le impone di rendere conforme la sua elaborazione intraprendendo una serie di azioni correttive specificate entro un determinato periodo di tempo. Un portavoce di Meta ha affermato che la società sta esaminando attentamente la decisione.
“Abbiamo apportato modifiche ai nostri sistemi durante il periodo in questione, inclusa la rimozione della possibilità di eseguire lo scraping delle nostre funzionalità in questo modo utilizzando i numeri di telefono“, ha affermato Meta.
“Lo scraping non autorizzato dei dati è inaccettabile e contrario alle nostre regole e continueremo a lavorare con i nostri colleghi su questa sfida del settore”, ha aggiunto il portavoce.
A settembre, Meta ha presentato ricorso all’Alta Corte contro una multa record di 405 milioni di euro inflitta a Instagram dal DPC. È stata la multa più alta mai inflitta dall’Irish Data Watchdog ed è stata emessa per violazioni relative al trattamento dei dati dei bambini.
Parlando al programma News at One di RTE, il Commissario per la protezione dei dati ha affermato che la forte multa inflitta a Meta ha lo scopo di avere un effetto deterrente.
Helen Dixon ha affermato che quando prodotti e servizi vengono progettati da aziende, in particolare laddove i dati personali costituiscono una parte importante di ciò che viene trattato, i prodotti devono essere progettati per proteggere adeguatamente i dati di una persona.
La multa sembra molto grande per il pubblico irlandese, ha detto, ma bisogna ricordare che il GDPR è stato introdotto specificamente per dare effetto a un diritto fondamentale nell’UE: la protezione dei propri dati personali.
Dixon ha aggiunto che la Commissione sta regolamentando per conto di tutti gli utenti dell’UE. Ha spiegato che l’UE ha previsto multe fino al quattro per cento del fatturato mondiale di aziende come Meta. Oltre alle multe, sono state imposte anche una serie di misure correttive, ha aggiunto.
“Abbiamo imposto modifiche significative alle politiche sulla privacy. Forzeremo una modifica alle impostazioni predefinite in relazione alla ricercabilità. Continueremo fino a quando il comportamento non cambierà”, ha affermato.
Dixon ha affermato che il suo ufficio era tenuto a presentare una bozza della decisione ad altre autorità per la protezione dei dati dell’UE e che non sono state sollevate obiezioni alle bozze.
Meta ma non solo: il DPC preoccupato per i licenziamenti e gli abbandoni del personale di Twitter
Nel frattempo, il Commissario per la protezione dei dati ha dichiarato oggi che il suo ufficio era preoccupato per le recenti partenze del personale da Twitter.
Le autorità di regolamentazione in Europa e negli Stati Uniti hanno espresso il timore che dimissioni e licenziamenti possano avere un impatto sulla capacità dell’azienda di soddisfare i propri obblighi normativi.
“Siamo preoccupati e ci teniamo in stretto contatto con Twitter, abbiamo una serie di richieste aperte con loro”, ha detto Dixon.
“Finora, stiamo ricevendo risposte da Twitter, c’è un responsabile della protezione dei dati in carica, ma ogni giorno che passa la storia cambia e i resoconti dei media si evolvono in termini di chi è partito e chi rimane, quindi continueremo a stretto contatto“, ha aggiunto.
Ha detto che a livello di base, un’organizzazione come Twitter deve disporre di un responsabile della protezione dei dati con un team che li supporti.
Ha detto al programma News at One che il suo ufficio sta cercando di stabilire cosa sia in atto per l’ufficio irlandese.
“È importante sottolineare che qui in Irlanda, dove Twitter in Irlanda è lo stabilimento principale ai fini dell’UE ai sensi del GDPR, deve esserci un consiglio in atto che prenda le decisioni sul trattamento dei dati personali nei confronti degli utenti dell’UE”.
La sig.ra Dixon ha affermato che il suo ufficio è in “più contatti giornalieri” con l’ufficio irlandese. Finora stiamo ottenendo risposte alle nostre domande, ha affermato, ma le preoccupazioni rimangono.
“È una situazione in rapida evoluzione, ne stiamo tenendo traccia. Penso che quando arriviamo al punto in cui non potremo ottenere risposte o non avremo punti di contatto, allora ci troveremo in gravi difficoltà”, ha detto.
In generale, il Commissario per la protezione dei dati personali ha affermato che finora quest’anno sono stati ricevuti un numero leggermente inferiore di reclami rispetto all’anno scorso.
La signora Dixon ha affermato che le statistiche finali saranno compilate il mese prossimo, ma si aspetta che il numero di reclami ricevuti possa essere inferiore tra il 9% e il 10% rispetto al 2021.
Ha spiegato che in altri anni sono sorte questioni molto specifiche, come il Covid e le case madre e bambino. “Ora potremmo vedere un livellamento mentre torniamo a tempi più normali”, ha detto.