La Data protection commission (Dpc) irlandese ha aperto un’inchiesta su Instagram dopo aver ricevuto una serie di segnalazioni in cui si denunciava che la piattaforma di condivisione di foto di proprietà di Facebook ha esposto i dati di milioni di minori. Lo riporta il quotidiano britannico The Telegraph. La Dpc of Ireland, che è la principale autorità europea di controllo sulla privacy, ha deciso di avviare due indagini separate sulla possibile esposizione degli indirizzi email e dei numeri di telefono degli utenti sotto i 18 anni. Se il Dpc riconoscerà la violazione della normativa europea da parte di Instagram, la piattaforma americana potrebbe essere sanzionata con una multa nell’ordine dei miliardi di dollari.
Una falla nelle impostazioni di Instagram
Il problema dell’esposizione dei dati dei minori nascerebbe da una falla nella app di photo-sharing ed è stata portata alla luce da un data scientist statunitense, David Stier. L’informatico americano stima che fino a 5 milioni di dati personali di minori potrebbero essere stati esposti nel momenti in cui questi utenti sono passati dall’impostazione “personale” a quella “business” per ricevere le statistiche su quanto fossero popolari le loro foto e i loro video.
Per passare all’impostazione business non è necessario dimostrare che l’utente sia effettivamente il proprietario o gestore di un’impresa e ciò significa che i dettagli personali di contatto, come numeri di telefono e indirizzi email, sono stati resi pubblici sui profili di questi giovanissimi utenti, permettendo a chiunque lo volesse di contattarli al di fuori della app di Instagram.
In aggiunta, fino all’anno scorso queste informazioni personali erano incluse nel codice quando si usava Instagram su un web browser, permettendo a chiunque di raccogliere in massa automaticamente i dati di contatto. Per iscriversi a Instagram l’età minima è di 13 anni, ma la piattaforma non effettua un controllo rigido sull’età di chi apre un profilo e, secondo l’autorità britannica delle comunicazioni Ofcom, in Uk più di 1 bambino su 5 tra gli 8 e i 12 anni usa Instagram.
Sotto la lente il rispetto del Gdpr
Il regolatore privacy irlandese ha già avviato le sue indagini: sarebbero partite a fine settembre, secondo il Telegraph. Il primo passo sarà capire se la app ha in essere le necessarie protezione per garantire un’elaborazione sicura dei dati degli utenti, soprattutto se minorenni. Poi esaminerà se Instagram sta rispettando le regole sulla protezione dei dati personali applicabili a questo caso sia nei profili che nelle impostazioni degli account.
L’Irlanda è sede dei quartieri generali di molte aziende hitech statunitensi e per questo la Dpc of Irland è il principale supervisore dell’Ue per l’applicazione della nuova regulation europea (Gdpr) sui dati personali. L’autority ha il potere di imporre sanzioni pari al 4% del fatturato globale o 20 milioni di euro (a seconda di quale sia la cifra più alta) all’azienda di cui siano state riconosciute violazioni del Gdpr.
Le decisioni preliminari della Dpc devono essere condivise con tutte le autorità europee di supervisione e le opinioni di ciascuna devono essere tenute in considerazione per la formulazione della decisione finale.