Sanzione GDPR da 405 milioni contro Instagram per illecito trattamento di dati di minori

Il Garante privacy irlandese ha emesso una sanzione di 405 milioni di euro la piattaforma social Instagram per violazione del GDPR in tema di raccolta e trattamento dati di minori tra i 13 e i 17 anni.

Dopo la sanzione a WhatsApp pari a 225 milioni di euro nel settembre 2021, Facebook è entrata nuovamente nel target del Garante irlandese qualche mese più tardi, vedendosi infliggere una sanzione di 17 milioni di euro. Il 3 settembre 2022, il Vice-Commissario della Irish Data Protection Commission (DPC), Graham Doyle, ha annunciato che, il giorno prima, l’autorità irlandese per la tutela della privacy aveva preso una decisione in merito all’indagine che ormai da due anni vedeva coinvolta la nota piattaforma social Instagram.

La piattaforma social di Zuckemberg è interessata da due principali nuclei di contestazione. Viene contestata:

1. la facilità con cui alcuni dati personali (quali gli indirizzi email ed i numeri di telefono) fossero esposti negli account business dei minori dai 13 ai 17 anni, e
2. come tali account aziendali venissero di default impostati come pubblici – e dunque accessibili e visibili a tutta la comunità online.

Il social in questione si era già ritrovato un anno fa al centro di aspre critiche da parte di genitori e pedagoghi preoccupati dagli effetti negativi dei likes sulla salute mentale dei più giovani. In particolare, si era legata la diminuzione della self-esteem data da un ridotto numero di “mi piace” su Instagram al peggioramento della body-image e mental-health nelle utenti minorenni.

Il progetto Instagram Kids era stato dunque accantonato e la scelta era ricaduta sul nascondere la visualizzazione del numero di likes agli occhi degli users del social. Tale modifica sembrerebbe aver portato più problemi che soluzioni, stimolando diversi giovanissimi a optare per gli account business, potendo così beneficiare di alcune features aggiuntive, quali gli algoritmi che forniscono statistiche rispetto ai likes di un post. La possibilità di meglio comprendere il proprio successo sui social diviene quindi un trade-off impari, scambiato con informazioni personali dei baby-utenti, i quali spesso non si rendono conto delle conseguenze che una tale esposizione può avere sulla rete. Infatti, la facile accessibilità a dati quali il proprio nominativo o l’indirizzo email apre milioni di profili a rischi di attività malevole come lo scraping, che sebbene legale in sé, può portare ad intrusioni indesiderate nella sfera privata degli individui.

Meta, dal canto suo, ha già dichiarato l’intenzione di far ricorso contro il provvedimento che verrà rilasciato a breve, lamentando un’erronea quantificazione della sanzione e aggiungendo che vi è stata una totale collaborazione con l’Autorità durante tutto il corso delle indagini, avviate nel settembre 2020. Non meno rilevante è il dato per cui l’ingente somma sarebbe rapportata a elementi ormai risalenti nel tempo, poiché la Big Tech in questione ha già provveduto ad apportare le dovute modifiche alle features di Instagram, in compliance con i dettami di privacy by design e by default contenuti nel GDPR per la tutela di utenti sensibili quali i minori nella fascia 13-17 anni. Ad oggi, infatti, l’impostazione di un account in modalità privata è automatica per i minorenni, permettendo l’accesso a profilo solo a seguito di accettazione tra i followers. Sulla stessa tendenza volta a schermare i più piccoli da approcci indesiderati, è previsto che gli adulti non possano contattare privatamente i minori di 18 anni, a meno che la conversazione non sia avviata da questi ultimi.

Il tema “minori e società dell’informazione” è estremamente caro alle autorità europee, alle quali è attribuito un ruolo di filtro verso soggetti particolarmente vulnerabili nelle loro attività online, maggiormente esposti e più facilmente vittima di attività quali le pubblicità comportamentali. Il delicato equilibrio da ricercare è quello della costruzione dell’identità del giovane nel contesto digitale odierno (per cui un divieto totale di accesso alle piattaforme social sarebbe irragionevole) e la necessità di regole ferree che tutelino un affaccio precoce alla rete.

Infine, segnaliamo che il provvedimento della DPC verrà pubblicato nei prossimi giorni, e avremo cura di aggiornarvi sugli specifici punti di contestazione da parte dell’autorità irlandese verso il social Instagram.

Su un simile argomento può essere interessante l’articolo “Cosa la sanzione di 225 milioni di euro contro WhatsApp ci insegna sulla compliance privacy?”