Instagram ha violato la normativa europea sulla protezione dei dati personali. Questo il severo verdetto del garante della privacy irlandese che ha inflitto una maxi sanzione da 405 milioni di euro a Meta, società con sede negli Stati Uniti proprietaria del noto social network che vanta oltre un miliardo di utenti nel mondo, tra cui 25,6 milioni solo in Italia, dei quali più del 50% under 35.
La notizia della decisione della Irish Data Protection Commission è stata data ieri a seguito di un’indagine che era stata avviata nel settembre 2020 relativamente alla conformità dei trattamenti dei dati personali degli utenti minorenni di Instagram, per cui l’autorità intendeva in particolare verificare se Facebook (che da gennaio 2022 ha cambiato la propria denominazione in “Meta”) utilizzasse una valida base giuridica per il trattamento continuo dei dati personali dei minori, se utilizzasse adeguate protezioni e/o restrizioni sulla piattaforma del social in relazione ai giovani utenti, se nei loro confronti rispettasse i criteri di trasparenza richiesti dal Gdpr, nonché per accertare se la piattaforma fosse stato strutturata per rispondere ai princìpi della privacy by design e privacy by default richiesti dallo stesso regolamento europeo sulla protezione dei dati personali.
A giudicare dall’entità della sanzione, a distanza di due anni le sospette violazioni di Instagram sembrano adesso essere state confermate, e anche se si attende di vedere gli ulteriori dettagli sulla decisione che saranno pubblicati dall’autorità di controllo la prossima settimana, a quanto pare il social network avrebbe messo a disposizione degli utenti con meno di 18 anni una funzione che permetteva loro di passare da un semplice account privato ad uno di tipo “business”, che in alcuni casi avrebbe reso pubblici gli indirizzi email ed i numeri di telefono dei minorenni, che ai sensi del Gdpr sono considerati persone “vulnerabili” e che quindi ai sensi del considerando 38 del Regolamento UE 2016/679 “meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali”.
A seguito della conferma della maxi sanzione da parte di Graham Doyle, vice commissario della Irish Data Protection Commission, Meta avrebbe recriminato che l’indagine dell’autorità irlandese si sarebbe concentrata su “vecchie impostazioni” sistemate ed aggiornate ormai da più di un anno, e che da allora Instagram avrebbe aggiunto molte altre funzionalità per migliorare la sicurezza dei giovani utenti, per cui la società guidata da Mark Zuckerberg ha affermato di non essere d’accordo con la decisione del garante irlandese, dichiarando di essere pronta a presentare ricorso, avviando quella che potrebbe risultare poi una lunga battaglia legale.
Nicola Bernardi, presidente di Federprivacy – @Nicola_Bernardi