TUTELA DEI DATI PERSONALI
EDPB e Garante irlandese: sanzione di 405 milioni di Euro a Instagram. Prima decisione generale su trattamento dei dati dei minori ai sensi del GDPR.
La Commissione irlandese per la protezione dei dati (DPC) ha annunciato oggi la conclusione di un'indagine su Meta Platforms Ireland Limited (Instagram) che impone una multa di 405 milioni di euro e una serie di misure correttive.
L'indagine riguardava il trattamento di dati personali relativi a utenti minorenni del servizio di social network Instagram. È stato avviato dal DPC il 21 settembre 2020 in risposta alle informazioni fornite da David Stier (uno scienziato dei dati statunitense), e anche in relazione a problemi identificati dal DPC stesso, a seguito dell'esame del processo di registrazione degli utenti di Instagram. L'indagine ha esaminato, in particolare, la divulgazione pubblica di indirizzi e-mail e/o numeri di telefono di bambini che utilizzano la funzione di account aziendale Instagram e un'impostazione pubblica per impostazione predefinita per gli account Instagram personali di bambini.
A seguito di un'indagine approfondita, il DPC ha presentato un progetto di decisione a tutte le autorità di regolamentazione inter pares nell'UE, note anche come autorità di vigilanza interessate ("CSA"), ai sensi dell'articolo 60 del GDPR nel dicembre 2021. Sei di queste autorità nazionali di regolamentazione hanno sollevato obiezioni al progetto di decisione del DPC. Il DPC non è stato in grado di raggiungere un consenso con le CSA sull'oggetto delle obiezioni e ha pertanto rinviato il caso al Comitato europeo per la protezione dei dati ("EDPB"), in linea con il processo di risoluzione delle controversie di cui all'articolo 65 del GDPR.
Il 28 luglio 2022 il Comitato ha adottato la sua decisione vincolante, che ha respinto una notevole quantità di obiezioni, ma ha accolto le obiezioni che imponevano al DPC di modificare il suo progetto di decisione per includere una constatazione di violazione dell'articolo 6, paragrafo 1, del GDPR e di riesaminare le sanzioni amministrative proposte sulla base di tale ulteriore violazione. Avendo incorporato questi emendamenti, la decisione del DPC è stata adottata il 2 settembre 2022. La decisione registra le constatazioni di violazione dell'articolo 5, paragrafo 1, lettera a), dell'articolo 5, paragrafo 1, lettera c), dell'articolo 6, paragrafo 1, dell'articolo 12, paragrafo 1, dell'articolo 24, dell'articolo 25, paragrafo 1, dell'articolo 25, paragrafo 2, e dell'articolo 35, paragrafo 1, del GDPR.
Il progetto di decisione iniziale del DPC aveva raccomandato un'ammenda fino a 405 milioni di EUR e, tenuto conto della decisione vincolante dell'EDPB, l'ammenda inflitta a Meta Platforms Ireland Limited (Instagram) ammonta a 405 milioni di EUR, compresa un'ammenda di 20 milioni di EUR per la violazione dell'articolo 6, paragrafo 1.
Oltre a queste sanzioni amministrative, il DPC ha anche imposto un rimprovero e un ordine che richiede a Meta Platforms Ireland Limited di rendere conforme il proprio trattamento adottando una serie di azioni correttive specifiche.
La decisione finale della LSA segue un'indagine di propria volontà sulla divulgazione pubblica da parte di Instagram di indirizzi e-mail e / o numeri di telefono di bambini che utilizzano la funzione di account aziendale Instagram e un'impostazione pubblica per impostazione predefinita per gli account Instagram personali di bambini, durante il periodo che rientra nell'ambito temporale dell'indagine. Una pratica che da allora si è conclusa come conseguenza dell'indagine della LSA. Andrea Jelinek, presidente dell'EDPB, ha dichiarato: "Si tratta di una decisione storica. Non solo a causa dell'altezza della multa - questa è la seconda multa più alta dall'entrata in vigore del GDPR - è anche la prima decisione a livello dell'UE sui diritti di protezione dei dati dei minori. Con questa decisione vincolante, l'EDPB chiarisce ulteriormente che le imprese che si rivolgono ai bambini devono prestare particolare attenzione. I minori meritano una protezione specifica per quanto riguarda i loro dati personali".
La decisione vincolante dell'EDPB è stata adottata sulla base dell'articolo 65 del GDPR, dopo che il DPA irlandese in qualità di autorità di controllo capofila (LSA) aveva avviato la procedura di risoluzione delle controversie in merito alle obiezioni sollevate da diverse autorità di vigilanza interessate (CSA). Tra l'altro, le CSA hanno sollevato obiezioni in merito alla base giuridica per il trattamento e alla determinazione dell'ammenda. Il DPC ha successivamente apportato modifiche al suo progetto di decisione a seguito del processo di risoluzione delle controversie.
Si tratta della prima decisione vincolante dell'EDPB che affronta uno dei pilastri fondamentali del diritto dell'UE in materia di protezione dei dati: la liceità del trattamento ai sensi dell'articolo 6 del GDPR. In particolare, l'EDPB ha fornito ulteriori chiarimenti sull'applicabilità delle basi giuridiche dell'«esecuzione del contratto» e dell'«interesse legittimo».
Meta IE si è basata su queste due basi giuridiche in alternativa per la pubblicazione di indirizzi e-mail e / o numeri di telefono di bambini che hanno utilizzato account aziendali Instagram. L'EDPB ha ritenuto che non vi fossero motivi per concludere che il trattamento in questione fosse necessario per l'esecuzione di un contratto. Di conseguenza, Meta IE non avrebbe potuto fare affidamento sull'articolo 6, paragrafo 1, lettera b), del GDPR come base giuridica per questo trattamento.
Per quanto riguarda l'interesse legittimo, come base giuridica alternativa per il trattamento, l'EDPB ha rilevato che la pubblicazione degli indirizzi e-mail e/o dei numeri di telefono dei minori non soddisfaceva i requisiti di cui all'articolo 6, paragrafo 1, lettera f), del GDPR, poiché il trattamento non era necessario o, se dovesse essere ritenuto necessario, non superava il test di bilanciamento richiesto per determinare l'interesse legittimo.
L'EDPB ha pertanto concluso che Meta IE ha trattato i dati personali dei minori illegalmente senza una base giuridica e ha incaricato la LSA di modificare il suo progetto di decisione al fine di stabilire la violazione dell'articolo 6, paragrafo 1, del GDPR.
Infine, l'EDPB ha incaricato la LSA di riesaminare la sanzione amministrativa prevista ai sensi dell'articolo 83, paragrafo 1, e dell'articolo 83, paragrafo 2, del GDPR per:
L'attuale decisione lascia impregiudicate le valutazioni che l'EDPB può essere chiamato a effettuare in altri casi, anche con le stesse parti.
L'indagine riguardava il trattamento di dati personali relativi a utenti minorenni del servizio di social network Instagram. È stato avviato dal DPC il 21 settembre 2020 in risposta alle informazioni fornite da David Stier (uno scienziato dei dati statunitense), e anche in relazione a problemi identificati dal DPC stesso, a seguito dell'esame del processo di registrazione degli utenti di Instagram. L'indagine ha esaminato, in particolare, la divulgazione pubblica di indirizzi e-mail e/o numeri di telefono di bambini che utilizzano la funzione di account aziendale Instagram e un'impostazione pubblica per impostazione predefinita per gli account Instagram personali di bambini.
A seguito di un'indagine approfondita, il DPC ha presentato un progetto di decisione a tutte le autorità di regolamentazione inter pares nell'UE, note anche come autorità di vigilanza interessate ("CSA"), ai sensi dell'articolo 60 del GDPR nel dicembre 2021. Sei di queste autorità nazionali di regolamentazione hanno sollevato obiezioni al progetto di decisione del DPC. Il DPC non è stato in grado di raggiungere un consenso con le CSA sull'oggetto delle obiezioni e ha pertanto rinviato il caso al Comitato europeo per la protezione dei dati ("EDPB"), in linea con il processo di risoluzione delle controversie di cui all'articolo 65 del GDPR.
Il 28 luglio 2022 il Comitato ha adottato la sua decisione vincolante, che ha respinto una notevole quantità di obiezioni, ma ha accolto le obiezioni che imponevano al DPC di modificare il suo progetto di decisione per includere una constatazione di violazione dell'articolo 6, paragrafo 1, del GDPR e di riesaminare le sanzioni amministrative proposte sulla base di tale ulteriore violazione. Avendo incorporato questi emendamenti, la decisione del DPC è stata adottata il 2 settembre 2022. La decisione registra le constatazioni di violazione dell'articolo 5, paragrafo 1, lettera a), dell'articolo 5, paragrafo 1, lettera c), dell'articolo 6, paragrafo 1, dell'articolo 12, paragrafo 1, dell'articolo 24, dell'articolo 25, paragrafo 1, dell'articolo 25, paragrafo 2, e dell'articolo 35, paragrafo 1, del GDPR.
Il progetto di decisione iniziale del DPC aveva raccomandato un'ammenda fino a 405 milioni di EUR e, tenuto conto della decisione vincolante dell'EDPB, l'ammenda inflitta a Meta Platforms Ireland Limited (Instagram) ammonta a 405 milioni di EUR, compresa un'ammenda di 20 milioni di EUR per la violazione dell'articolo 6, paragrafo 1.
Oltre a queste sanzioni amministrative, il DPC ha anche imposto un rimprovero e un ordine che richiede a Meta Platforms Ireland Limited di rendere conforme il proprio trattamento adottando una serie di azioni correttive specifiche.
La decisione finale della LSA segue un'indagine di propria volontà sulla divulgazione pubblica da parte di Instagram di indirizzi e-mail e / o numeri di telefono di bambini che utilizzano la funzione di account aziendale Instagram e un'impostazione pubblica per impostazione predefinita per gli account Instagram personali di bambini, durante il periodo che rientra nell'ambito temporale dell'indagine. Una pratica che da allora si è conclusa come conseguenza dell'indagine della LSA. Andrea Jelinek, presidente dell'EDPB, ha dichiarato: "Si tratta di una decisione storica. Non solo a causa dell'altezza della multa - questa è la seconda multa più alta dall'entrata in vigore del GDPR - è anche la prima decisione a livello dell'UE sui diritti di protezione dei dati dei minori. Con questa decisione vincolante, l'EDPB chiarisce ulteriormente che le imprese che si rivolgono ai bambini devono prestare particolare attenzione. I minori meritano una protezione specifica per quanto riguarda i loro dati personali".
La decisione vincolante dell'EDPB è stata adottata sulla base dell'articolo 65 del GDPR, dopo che il DPA irlandese in qualità di autorità di controllo capofila (LSA) aveva avviato la procedura di risoluzione delle controversie in merito alle obiezioni sollevate da diverse autorità di vigilanza interessate (CSA). Tra l'altro, le CSA hanno sollevato obiezioni in merito alla base giuridica per il trattamento e alla determinazione dell'ammenda. Il DPC ha successivamente apportato modifiche al suo progetto di decisione a seguito del processo di risoluzione delle controversie.
Si tratta della prima decisione vincolante dell'EDPB che affronta uno dei pilastri fondamentali del diritto dell'UE in materia di protezione dei dati: la liceità del trattamento ai sensi dell'articolo 6 del GDPR. In particolare, l'EDPB ha fornito ulteriori chiarimenti sull'applicabilità delle basi giuridiche dell'«esecuzione del contratto» e dell'«interesse legittimo».
Meta IE si è basata su queste due basi giuridiche in alternativa per la pubblicazione di indirizzi e-mail e / o numeri di telefono di bambini che hanno utilizzato account aziendali Instagram. L'EDPB ha ritenuto che non vi fossero motivi per concludere che il trattamento in questione fosse necessario per l'esecuzione di un contratto. Di conseguenza, Meta IE non avrebbe potuto fare affidamento sull'articolo 6, paragrafo 1, lettera b), del GDPR come base giuridica per questo trattamento.
Per quanto riguarda l'interesse legittimo, come base giuridica alternativa per il trattamento, l'EDPB ha rilevato che la pubblicazione degli indirizzi e-mail e/o dei numeri di telefono dei minori non soddisfaceva i requisiti di cui all'articolo 6, paragrafo 1, lettera f), del GDPR, poiché il trattamento non era necessario o, se dovesse essere ritenuto necessario, non superava il test di bilanciamento richiesto per determinare l'interesse legittimo.
L'EDPB ha pertanto concluso che Meta IE ha trattato i dati personali dei minori illegalmente senza una base giuridica e ha incaricato la LSA di modificare il suo progetto di decisione al fine di stabilire la violazione dell'articolo 6, paragrafo 1, del GDPR.
Infine, l'EDPB ha incaricato la LSA di riesaminare la sanzione amministrativa prevista ai sensi dell'articolo 83, paragrafo 1, e dell'articolo 83, paragrafo 2, del GDPR per:
- imporre una sanzione amministrativa effettiva, proporzionata e dissuasiva per l'infrazione supplementare, tenendo conto della natura e della gravità della violazione, nonché del numero di interessati interessati;
- garantire che gli importi definitivi delle sanzioni amministrative pecuniarie siano effettivi, proporzionati e dissuasivi.
L'attuale decisione lascia impregiudicate le valutazioni che l'EDPB può essere chiamato a effettuare in altri casi, anche con le stesse parti.
