I bollettini di House of Data Imperiali sono degli estratti delle Puntate del servizio Dati in Primo Piano (DPP), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il DPP è fruibile tramite abbonamento.

Perché la sanzione a Instagram

La pubblicazione della decisione vincolante dell’EDPB in merito alla composizione della controversia insorta tra l’autorità irlandese – in qualità di autorità capofila (LSA) – e alcune altre autorità di controllo interessate (CSA), insieme alla pubblicazione della decisione revisionata della LSA emessa in conformità alle osservazioni EDPB, permette di ritornare sulle motivazioni alla base dell’irrogazione della seconda maggiore sanzione pecuniaria di tutti i tempi per violazioni a regole del GDPR (€ 405 milioni contro Instagram, ora Meta IE).

Perché_Instagram_sanzionato_dati_personali
Figura – Le attuali maggiori sanzioni GDPR già inflitte e le sanzioni comminate dall’autorità irlandese a società del gruppo Meta alla data di settembre 2022.

 

Inizio della vertenza

La vertenza è sorta a seguito di un’inchiesta d’ufficio del Data Protection Commissioner irlandese, iniziata il 21 settembre 2021, riguardo ad alcune operazioni di trattamento di Facebook Ireland Limited, in seguito denominata Meta Platforms Ireland Limited (Meta IE). L’inchiesta e i successivi provvedimenti riguardavano il trattamento dei dati personali da parte di Meta IE in relazione alla divulgazione pubblica di indirizzi e-mail e/o numeri di telefono di utenti minori della funzione account business di Instagram e un’impostazione pubblica, per impostazione predefinita, per gli account personali di utenti minori su Instagram.

 

Oggetto della vertenza

In sintesi, per un certo arco temporale, Meta IE aveva pubblicato indirizzi e-mail e/o numeri di telefono di minori (tra i 13 e i 17 anni) che erano utenti dell’account aziendale di Instagram, senza richiedere il loro consenso e in via automatica.

 

Ruolo dell’EDPB

Il Comitato europeo per la protezione dei dati personali (EDPB) – composto dal rappresentante di ciascuna autorità di controllo nazionale e dall’EDPS ha il compito di garantire l’applicazione coerente del regolamento.

 

Procedura di cooperazione

Il regolamento richiede alle autorità di controllo, sia la LSA sia le CSA, di cooperare, adoperandosi per raggiungere un consenso tra di loro [art. 60(1), GDPR]. Su questa linea, quando si è in presenza di un “trattamento transfrontaliero” [art. 4, 23), GDPR] ritenuto illegittimo, la LSA «trasmette senza indugio (alle CSA) un progetto di decisione per ottenere il loro parere e tiene debitamente conto delle loro opinioni» [art. 60(3), GDPR]. Il progetto di decisione della LSA irlandese è stato adottato nel giugno 2021, notificato a Meta IE con invito a presentare osservazioni e, nel dicembre 2021, condiviso con le CSA.

 

Meccanismo di coerenza

Se una CSA solleva un’obiezione pertinente e motivata che evidenza la rilevanza dei rischi riguardo a un progetto di decisione della LSA [artt. 4, 24) e 60(4), GDPR], qualora la LSA non condivida tali obiezioni, dà corso al meccanismo di coerenza. 

Nella vertenza Instagram le autorità di controllo di Germania, Finlandia, Francia, Italia, Olanda e Norvegia hanno presentato obiezioni pertinenti e motivate nei riguardi del progetto di decisione adottato dalla LSA irlandese. Sui concetti di “pertinente e motivata” l’EDPB ha adottato le linee guida 9/2020 [versione 2 del 9 marzo 2021]. 

Obiezione pertinente – secondo l’EDPB «[a]ffinché l’obiezione sia considerata “pertinente”, deve esserci un collegamento diretto tra l’obiezione e il contenuto del progetto di decisione in questione. Più specificamente, l’obiezione deve riferirsi alla sussistenza di una violazione del GDPR oppure alla conformità al GDPR dell’azione prevista in relazione al titolare del trattamento o al responsabile del trattamento.» [Linee guida 9/2020, cit., par. 12]. 

Obiezione motivata – sempre secondo le linee guida EDPB – occorre che l’obiezione «chiarisca e argomenti il motivo per cui si propone una modifica della decisione (vale a dire gli errori di fatto/di diritto del progetto di decisione dell’autorità di controllo capofila). Deve inoltre dimostrare in che modo la modifica condurrebbe a una diversa conclusione sulla sussistenza o meno di una violazione del GDPR oppure sulla conformità o meno al GDPR dell’azione prevista in relazione al titolare del trattamento o al responsabile del trattamento.» (linee guida 9/2020, cit., par. 16). 

Tra gennaio e febbraio 2022 la LSA ha presentato una risposta di compromesso che non è stata ritenuta accettabile dalle CSA. Secondo il regolamento, se la LSA non dà seguito all’obiezione o la rigetta ritenendola non pertinente o non motivata [art. 65(1)(a), GDPR], essa sottopone la questione al meccanismo di coerenza dell’articolo 63 del GDPR [art. 60(4), GDPR].

 

Continua…

Per continuare a leggere questo articolo devi essere abbonato al servizio Dati in Primo Piano.

Sei già abbonato?

Abbonati al DPP

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form