La Commissione per la protezione dei dati irlandese (Data Protection Commission) ha annunciato di aver inflitto una sanzione di 265 milioni di euro e una serie di misure correttive nei confronti di Meta Platforms Ireland Limited (MPIL), titolare del trattamento dei dati della rete di social media “Facebook”.
Il DPC aveva avviato l’inchiesta il 14 aprile 2021, sulla base dei resoconti dei media sulla scoperta di un set di dati personali raccolti di circa 533 milioni di utenti di Facebook che erano stati resi disponibili su Internet. Tra i dati: numeri di telefono, date di nascita, indirizzi e-mail e altre informazioni private.
L’ambito dell’indagine riguardava un esame e una valutazione degli strumenti Facebook Search, Facebook Messenger Contact Importer e Instagram Contact Importer in relazione al trattamento effettuato da Meta Platforms Ireland Limited (“MPIL”) nel periodo compreso tra il 25 maggio 2018 e settembre 2019. Le questioni materiali in questa indagine riguardavano questioni di conformità con l’obbligo del GDPR per la protezione dei dati fin dalla progettazione e dall’impostazione predefinita.
È stato svolto un processo di indagine completo, compresa la cooperazione con tutte le altre autorità di controllo della protezione dei dati all’interno dell’UE le quali hanno aderito alla decisione del DPC.
La decisione, adottata venerdì 25 novembre 2022, registra i risultati della violazione degli articoli 25 (1) e 25 (2) del GDPR. La decisione ha imposto un rimprovero e un’ordinanza che richiedeva a MPIL di rendere conforme il proprio trattamento adottando una serie di azioni correttive specificate entro un determinato periodo di tempo. Inoltre, la decisione ha irrogato a MPIL sanzioni amministrative per complessivi 265 milioni di euro, ha comunicato l’Autorità.
Meta aveva inizialmente dato la responsabilità agli hacker, ma adesso la decisione della Data Protection Commission Commission irlandese attribuisce all’azienda la responsabilità di non aver rispettato le misure di sicurezza richieste dall’art.25 del GDPR.
Questa maxi sanzione si aggiunge a quella di 405 milioni di euro inflitta a Meta sempre dal garante irlandese nel mese di settembre per violazioni dei trattamenti dei dati personali degli utenti minorenni di Instagram ed è l’ennesima di una lunga serie di provvedimenti amministrativi che dall’introduzione del Regolamento europeo sulla protezione dei dati a oggi sono arrivate a pesare complessivamente alla società del social in questione quasi 8 miliardi di euro.
