»
»
Gdpr, Meta multata per 251 milioni di euro dal Garante irlandese della privacy
le sanzioni

Gdpr, Meta multata per 251 milioni di euro dal Garante irlandese della privacy

di |
Gdpr, Meta multata per 251 milioni di euro dal Garante irlandese della privacy Internet

L'Irish Data Protection Commission ha multato Meta per 251 milioni di euro a causa di violazioni del GDPR legate a una fuga di dati del 2018 che ha colpito 29 milioni di account globali, inclusi 3 milioni nell'UE.

Meta e la multa del Garante Privacy irlandese, il caso

L’Irish Data Protection Commission (DPC) ha concluso due indagini su Meta Platforms Ireland Limited (MPIL), avviate a seguito di una violazione dei dati personali segnalata nel settembre 2018.

Il caso ha coinvolto circa 29 milioni di account Facebook a livello globale, di cui circa 3 milioni appartenenti a utenti residenti nell’UE/SEE.

La violazione risale a luglio 2017, quando Facebook introdusse una funzione di caricamento video con l’opzione “View as” per visualizzare il proprio profilo come appariva ad altri utenti.

Un bug nella progettazione consentiva ad attori malevoli di combinare questa funzione con il “Happy Birthday Composer” per generare token di accesso, garantendo pieno accesso ai profili degli utenti.

Questo exploit ha permesso di ottenere accessi non autorizzati a più account e ai relativi dati, come rilevato dalla DPC.

La natura della violazione

La violazione è stata causata dallo sfruttamento non autorizzato dei token di accesso degli utenti sulla piattaforma Facebook. Tra i dati personali compromessi figurano il nome completo, indirizzo email, numero di telefono, luogo di lavoro, data di nascita, religione, genere, post pubblicati, appartenenza a gruppi e dati relativi ai figli. Meta, insieme alla casa madre statunitense, ha risolto la vulnerabilità subito dopo averla scoperta.

Il Vicecommissario della DPC, Graham Doyle, ha sottolineato l’importanza di integrare la protezione dei dati nel ciclo di progettazione e sviluppo dei sistemi: “Questa azione di enforcement evidenzia come la mancata adozione di requisiti di protezione dei dati possa esporre gli individui a gravi rischi, inclusa la violazione dei diritti fondamentali e delle libertà. I profili Facebook contengono spesso informazioni sensibili, come credenze religiose, orientamenti politici o sessuali, che l’utente potrebbe voler condividere solo in contesti specifici. La vulnerabilità che ha permesso l’esposizione non autorizzata di questi dati ha comportato un serio rischio di abuso.”

Decisioni e sanzioni del DPC

Le decisioni finali, emesse dai Commissari per la protezione dei dati Dr. Des Hogan e Dale Sunderland, includono reprimende e sanzioni amministrative per un totale di 251 milioni di euro.

La DPC ha suddiviso le sue decisioni in due principali violazioni del GDPR:

  1. Decisione 1
    • Articolo 33(3) GDPR: Meta non ha incluso nella notifica della violazione tutte le informazioni obbligatorie richieste e disponibili. La DPC ha imposto una multa di 8 milioni di euro.
    • Articolo 33(5) GDPR: Meta non ha documentato adeguatamente i fatti relativi alla violazione e le azioni intraprese per porvi rimedio. Questa mancanza di documentazione impedisce all’autorità di vigilanza di verificare la conformità. La sanzione ammonta a 3 milioni di euro.
  2. Decisione 2
    • Articolo 25(1) GDPR: Meta ha omesso di garantire la protezione dei principi di protezione dei dati nella progettazione dei sistemi di trattamento. Per questa violazione, è stata comminata una multa di 130 milioni di euro.
    • Articolo 25(2) GDPR: Meta non ha assicurato che, per impostazione predefinita, venissero trattati solo i dati personali necessari per finalità specifiche. La sanzione associata a questa violazione è di 110 milioni di euro.

La posizione di Meta

Questa decisione si riferisce ad un incidente avvenuto nel 2018. Abbiamo adottato azioni immediate per risolvere il problema non appena identificato e informato proattivamente le persone coinvolte e l’Autorità per la Protezione dei Dati irlandese (DPC)“, ha spiegato un portavoce di Meta. 

Disponiamo di un’ampia gamma di misure all’avanguardia per proteggere le persone sulle nostre piattaforme”, è specificato nella nota della società.

Prossimi passi

La DPC ha dichiarato che pubblicherà prossimamente la decisione completa e ulteriori dettagli sull’indagine.

Questo caso rappresenta un chiaro monito per le aziende tecnologiche sull’importanza di implementare adeguati meccanismi di protezione dei dati fin dalle fasi iniziali di sviluppo, al fine di rispettare pienamente le normative europee sulla privacy e ridurre i rischi per gli utenti.

Solo lo scorso mese, la Commissione europea aveva inflitto una multa di 797,72 milioni di euro a Meta per pratiche commerciali sleali nel servizio marketplace, accusando il social media di favorire i propri annunci nel feed di Facebook rispetto a quelli di terzi e di sfruttare indebitamente i dati pubblicitari a proprio vantaggio.

Leggi le altre notizie sull’home page di Key4biz

Per saperne di più: GDPRMetaPrivacy

L'autore

Flavio Fabbri

Flavio Fabbri

Giornalista pubblicista dal 2011, mi occupo di transizione digitale, ecologica ed energetica, di clima e ambiente, innovazione e cultura tecnologica.

Condividi:

Leggi anche