Il Garante privacy della Repubblica di San Marino ha multato Facebook per un totale di 5 milioni di euro per violazione delle norme sulla protezione dei dati personali.
Si tratta di due decisioni separate con cui sono state sanzionate Facebook Ireland e Facebook Inc, la filiale irlandese e la capogruppo americana.
I provvedimenti intimano al social di Mark Zuckerberg di adeguare le proprie misure di tutela della privacy e ordinano il pagamento – con una prima decisione – di una multa di 4 milioni di euro per la quale sono responsabili in solido le due società; nel secondo provvedimento si ordina un’ulteriore multa di 1 milione solo alla società irlandese.
Facebook Ireland e Facebook Inc. possono impugnare il provvedimento, ma il pagamento della sanzione è immediatamente esecutivo.
Multa di 4 milioni per lo “scraping” dei dati
Nel provvedimento che riconosce responsabili in solido Facebook Ireland e la capogruppo di Menlo Park e le sanziona per 4 milioni di euro il Garante del Titano fa riferimento ai 533 milioni di dati personali di utenti Facebook hackerati nel 2019 e tornati recentemente disponibili online in un database non protetto.
Il caso ha interessato 12.700 cittadini di San Marino ma ha ovviamente coinvolto utenti di Facebook in tutto il mondo, inclusi circa 36 milioni di italiani. Anche il nostro Garante privacy ha chiesto verifiche al social media.
Nella sua decisione l’Authority spiega che l’azienda “riconosce che nel periodo tra gennaio 2018 e settembre 2019” è stata effettuata la “sottrazione di dati personali degli utenti della piattaforma di Facebook mediante una tecnica informatica denominata “scraping”. Inoltre, Facebook ha convenuto, rispondendo alle domande contenute nell’istruttoria del Garante privacy di San Marino, che l’indagine si riferiva “ai dati degli utenti Facebook oggetto di scraping che sono stati resi disponibili al pubblico in un database non protetto all’inizio di quest’anno, come riportato da alcuni articoli di giornale nell’aprile 2021 (il “Scraped Data Set”)”.
Considerato dunque che Facebook Ireland “ha esplicitamente riconosciuto di aver subito una sottrazione di dati personali da parte di terzi (pur riferendosi ad una asserita e non dimostrata azione con la tecnica dello “scraping”) e che a tale riconoscimento deve attribuirsi valore confessorio” e che “per loro natura, le attività perpetrate con la tecnica dello “scraping” e/o con qualsiasi altro sistema atto all’indebita acquisizione massiva di dati e la successiva divulgazione mediante diffusione del dataset di dati personali – come nel caso di specie – sono da considerare illecite”.
La sanzione amministrativa pecuniaria di 4 milioni di euro arriva – spiega l’authority – dopo aver valutato che Facebook non ha messo in atto misure tali da garantire un livello di sicurezza adeguato ad un rischio di cui aveva piena consapevolezza. Inoltre il social network non ha adottato alcuna misura per attenuare il danno subito dagli interessati, che hanno appreso dai giornali l’avvenuta violazione dei loro dati personali.
“Siamo l’unica autorità al mondo che li ha puniti”, ha spiegato all’Ansa il vicepresidente del Garante sammarinese, Umberto Rapetto. Col supporto investigativo della Gendarmeria sono state
acquisite le prove della diffusione illecita di nomi, cognomi, indirizzi di casa, numeri telefonici, e-mail, indicazioni su luogo e attività di lavoro e notizie biografiche degli utenti.
La sanzione a Facebook Ireland sul trattamento dei dati dei minori
La multa che colpisce la sola Facebook Ireland è l’esito dell’istruttoria aperta a marzo dal Garante dati di San Marino in cui si chiedeva alla società di fornire informazioni esaurienti sul trattamento dei dati dei minori. L’offerta di servizi di Facebook è infatti soggetta a consenso dei genitori o di chi ne va le veci per i cittadini con meno di 16 anni.
La stessa Facebook aveva risposto all’authority di San Marino che: “Circa le modalità di verifica dell’età, mentre Facebook Ireland considera il suo approccio alla verifica dell’età per i servizi Facebook e Instagram come appropriato sulla base della tecnologia disponibile ad oggi e in linea con gli standard del settore per servizi comparabili, Facebook Ireland è consapevole una verifica effettiva dell’età in un contesto online resta un’area ancora in sviluppo e tecnicamente impegnativa”.
Il Garante dati aggiunge tuttavia che Facebook Ireland non ha provveduto a fornire a questa Autorità adeguate informazioni anche tecniche in ordine alle modalità con le quali viene effettuato il controllo dell’età dei minorenni e comunque in generale delle persone che accedono alla piattaforma. L’Autorità “rileva la inesistenza di soluzioni che avrebbe dovuto adottare Facebook Ireland Ltd. per verificare l’età di minori di anni 16 allorquando gli stessi si registrano o accedono alla piattaforma Facebook”.
La sanzione scaturisce dopo la valutazione della “natura, gravità e durata della violazione” e considerato che “è fortemente plausibile che ancora oggi possa essere esposto a rischio un numero elevato di minori”.
Caso Kustomer: Facebook chiede all’Ue più tempo
Intanto sul caso antitrust al vaglio dei regolatori Ue relativo all’acquisizione di Kustomer da parte di Facebook le autorità europee hanno esteso di sette giorni la durata prevista dell’indagine. La posticipazione della deadline è stata decisa dopo che Facebook ha chiesto un allungamento dei tempi anche in considerazione della pausa estiva: con la stagione delle ferie è più difficile trovare concorrenti e clienti di Facebook che possano rispondere ai questionari della Commissionoe europea. La deadline slitta dunque al 15 dicembre prossimo.
La Commissione europea ha avviato un’indagine approfondita per valutare la proposta di acquisizione di Kustomer da parte di Facebook nel timore che l’operazione proposta ridurrebbe la concorrenza nel mercato della fornitura di software per la gestione delle relazioni con i clienti, rafforzando ulteriormente la posizione di mercato di Facebook nel mercato della pubblicità online e aumentando la già significativa quantità di dati a disposizione di Facebook per la personalizzazione degli annunci visualizzati.
“È importante esaminare attentamente le acquisizioni potenzialmente problematiche da parte di società che sono già dominanti in determinati mercati”, ha dichiarato Margrethe Vestager, responsabile della politica della concorrenza. “Ciò vale in particolare per il settore digitale, dove Facebook gode di una posizione di leadership sia nella pubblicità display online che nei canali di messaggistica over-the-top, come WhatsApp, Messenger o Instagram. La nostra indagine mira a garantire che la transazione non danneggi le aziende o i consumatori e che tutti i dati a cui Facebook ha accesso non distorcano la concorrenza”.
Facebook ha già garantito piena cooperazione alle autorità europee.