L’autorità di supervisione irlandese (Data Protection Commission “DPC”) il 2 settembre 2022 ha sanzionato la piattaforma di social media Instagram – del gruppo Facebook, ora denominato Meta – per 405 milioni di euro per violazioni del GDPR. Si tratta della maggiore sanzione inflitta da questa autorità e della seconda mai comminata da un’autorità privacy della UE, dopo quella di €746 milioni inflitta dall’autority del Lussemburgo contro Amazon. 

La decisione fa seguito a un’indagine sulle violazioni dei dati dei minori avviata nel settembre 2020 su iniziativa dell’autorità irlandese sulle attività di trattamento di Meta Ireland.

Precedenti sanzioni a Meta

Nel 2021 la DPC aveva sanzionato WhatsApp, anch’essa di proprietà di Meta, per 225 milioni di euro sempre per violazioni al GDPR e quest’ultima sanzione è la terza che la DPC commina a una società del gruppo Meta (in aggiunta a € 17 milioni contro Facebook, comminata nel marzo 2022, a seguito di indagine dell’autorità per molteplici data breach occorsi nel 2018).

Oggetto del provvedimento

La vicenda oggetto dell’attuale provvedimento riguardava due tipi di trattamento effettuati da Facebook Ireland Limited. Il primo consentiva agli utenti minori di età compresa tra 13 e 17 anni di gestire “account aziendali” sulla piattaforma Instagram e tali account hanno richiesto e/o facilitato la pubblicazione del numero di telefono e/o dell’indirizzo e-mail dell’utente minore.  

Con il secondo tipo di trattamento Facebook Ireland Limited gestiva gli account degli utenti minori impostandoli come “pubblici” per impostazione predefinita, rendendo così pubblici (cioè, diffondendo) i contenuti dei social media degli utenti minori, a meno che l’utente fosse intervenuto a modificare su “privato” l’impostazione di default dell’account.

Continua…