Il Data Protection Commissioner (DPC) irlandese ha imposto una super multa di 405 milioni di euro a Meta per aver violato la privacy dei minori tramite il suo social network Instagram. La decisione, che la compagnia di Cupertino ha già annunciato di voler impugnare, è stata assunta il 2 settembre ma comunicata ai media solo ieri dalla DPC. Il testo del provvedimento sarà reso pubblico settimana prossima.

Le condotte contestate come contrarie ai principi del Regolamento Generale europeo sulla Protezione dei Dati (GDPR) hanno potenzialmente interessato milioni di utenti adolescenti di Instagram i cui numeri di telefono cellulare e gli indirizzi e-mail sono stati pubblicati automaticamente in base alle impostazioni predefinite del servizio “account business” dell’applicazione.

L’indagine, iniziata nel 2020 su segnalazione di terza parte, si è incentrata sul fatto che Facebook ha permesso a utenti minori di età compresa tra i 13 e i 17 anni di gestire profili business su Instagram e, secondo il DPC, “In alcuni casi, la gestione di tali account richiedeva e facilitava la pubblicazione, a livello mondiale, del numero di telefono e/o dell’indirizzo e-mail dell’utente minorenne“. In altri casi, Facebook ha gestito un sistema di registrazione ad Instagram in cui gli account degli utenti minorenni erano impostati come “pubblici” per impostazione predefinita, rendendo così, di default, liberamente disponibili i contenuti degli adolescenti che non intervenissero di propria sponte nel pannello di controllo del proprio profilo trasformandolo in “privato”.

La multa è la più alta comminata dal DPC da quando –  nel 2018, ossia con l’entrata in forza del GDPR – ha assunto ampi poteri per supervisionare le operazioni nel Vecchio Continente dei numerosi colossi tecnologici internazionali che hanno il loro quartier generale UE a Dublino quali Google (YouTube, Android, etc.), Microsoft, Apple, Facebook (Instagram e Whatsapp), Twitter, TikTok, Tinder, Airbnb, eBay, Dropbox, Oracle, Salesforce, Experian, Verizon, Shopify e altri ancora.

In vero, per diversi anni, gli ampi poteri del DPC sono rimasti sulla carta, al punto che l’Irlanda è stata accusata di essere “collo di bottiglia” che frena l’applicazione del GDPR in Europa verso le Big Tech. Il sospetto – qui un nostro approfondimento sul tema –  era che il Commissioner, oltre che non disporre delle risorse (umane, tecniche e finanziarie) necessarie a svolgere un ruolo oggettivamente complicato, fosse in qualche modo restio ad usare il pugno duro con i giganti della digital economy che operano nella sua giurisdizione grazie alle attrattive agevolazioni burocratico/fiscali dispiegate anni fa dal governo irlandese. L’avvento nell’Emerald Isle dei big player esteri ha generato benefici per il PIL, l’occupazione, i salari medi, il comparto immobiliare e ha creato un notevole indotto. Il Paese, assurgendo col passare dei mesi ad hub continentale dell’innovazione tecnologica, è divenuto una calamita per una costellazione di fornitori che offrono beni e servizi nell’indotto nonché the place to be anche per le start-up digitali europee. In un simile scenario, l’inerzia del DPC davanti alle “malefatte di privacy” di alcune compagnie extra UE è parsa attitudine intesa a non perdere l’allure di paradiso UE del business dell’economia dei dati.

Pubblicamente additata dalla Commissione europea, dalle Data Protection Authority degli altri Stati Membri e da diverse associazioni (anche irlandesi) di tutela dei cittadini come fattore di paralisi dell’enforcment GDPR verso le Big Tech, nell’ultimo anno il DPC sembra aver cambiato passo. Nel settembre 2021 la Commission ha emesso – in vero, dopo un percorso in cui aveva mostrato altre timidezze – come Lead Supervisory Authority (LDA) un provvedimento sanzionatorio nei confronti di WhatsApp Ireland Limited chiamato a pagare 225 milioni di euro per scarsa trasparenza verso gli utenti in relazione all’interscambio di dati personali tra la piattaforma di messaggistica istantanea e le altre applicazioni dell’allora galassia Facebook. Nel marzo 2022, il DPC ha inflitto una multa da 17 milioni di euro a Meta Platforms Ireland Limited per inadeguate misure di sicurezza a tutela delle informazioni personali degli utenti che, nella vicenda in questione, furono esposti a 12 data breach in un solo semestre del 2018.

Con la sanzione da 405 milioni annunciata ieri (che sommata alle due recenti di cui sopra porta a 625 milioni la sommatoria delle multe inflitte da Dublino all’universo Meta negli ultimi 12 mesi), il DPC pare riabilitare l’Irlanda nel fondamentale ruolo di Stato membro chiamato in prima battuta ad imporre ai mastodonti extra UE la corretta applicazione del GDPR laddove questi trattino dati personali dei cittadini europei. Trattasi della seconda multa più alta mai comminata in Europa in materia di data protection dopo quella irrogata dal CNPD lussemburghese nel giugno 2021 – sempre pronunciata nell’ambito dei meccanismi di cooperazione tra le autorità di cui all’art. 60 GDPR – che è costata ad Amazon Europe Core S.à r.l la cifra record di 746 milioni di euro per violazione degli obblighi GDPR in tema di raccolta di libero consenso degli utenti alla profilazione per fini pubblicitari.