Maxi multa a LinkedIn per violazione delle norme sulla privacy dell’Unione europea. La Commissione irlandese per la protezione dei dati (Dpc) ha preso di mira un altro Big tech annunciando una sanzione da 310 milioni di euro per la piattaforma social dedicata al mondo del lavoro, al termine di un’indagine per l’infrazione del regolamento europeo sui dati (Gdpr), in particolare riguardo la pubblicità mirata e obbligo di conformità.
La sanzione
La Commissione, che agisce per conto dell’Ue, imputa a LinkedIn di aver ottenuto il consenso dell’utilizzo dei dati degli utenti “non liberamente”, “né in modo sufficientemente chiaro o specifico, né univoco”. Motivo per il quale il Dpc, oltre a comminare la multa, ha ordinato al social network “di adeguare il suo trattamento (dei dati)” al Gdpr.
Il procedimento ha avuto origine da una denuncia presentata nel 2018 da un’associazione francese in difesa dei diritti degli utenti di internet, “La Quadrature du Net”, che, oltre alla piattaforma social professionale di proprietà di Microsoft, aveva presentato altri quattro reclami anche contro Google, Apple, Facebook e Amazon, accusando i colossi del web di sfruttare illegalmente i dati personali dei loro utenti senza il loro consenso.
Le denunce presentate inizialmente al Cnil, l’agenzia francese per la protezione dei dati, sono state inoltrate all’autorità di regolamentazione irlandese che ad agosto 2018 ha avviato l’indagine sulla verifica dei principi di liceità, equità e trasparenza dei dati personali, sia forniti direttamente a LinkedIn dai suoi membri (dati di prima parte), sia ottenuti tramite i suoi partner terzi relativi ai suoi membri (dati di terze parti).
“La liceità del trattamento è un aspetto fondamentale della normativa sulla protezione dei dati – è stato il commendo del vicecommissario del Dpc, Graham Doyle – e il trattamento dei dati personali senza un’adeguata base giuridica costituisce una chiara e grave violazione del diritto fondamentale dell’interessato alla protezione dei dati”.
In una dichiarazione inviata all’Afp, LinkedIn ha replicato al verdetto della Dpc affermando di “ritenere di essere conforme al Gdpr”, ma ha anche aggiunto di essere al lavoro “per garantire che le pratiche pubblicitarie siano conformi” alla decisione dell’autorità di regolamentazione irlandese.
Le violazioni
Come ricordato dalla Commissione nel comunicato stampa con cui ha annunciato la sanzione contro LinkedIn, il Gdpr richiede che il trattamento dei dati personali si fondi su una delle basi giuridiche delineate nell’articolo 6(1) dello stesso regolamento, come il consenso, la necessità contrattuale o gli interessi legittimi.
“A seconda della base giuridica selezionata dai titolari del trattamento, devono essere soddisfatte determinate condizioni – si spiega – Ad esempio, qualsiasi consenso ottenuto deve soddisfare lo standard richiesto dal Gdpr di essere un’indicazione libera, specifica, informata e inequivocabile dei desideri dell’interessato.”
“Il Gdpr richiede inoltre che il trattamento venga effettuato in modo equo – si legge ancora nelle motivazioni della Dpc- L’equità è un principio fondamentale, che richiede che i dati personali non possano essere trattati in modo dannoso, discriminatorio, inaspettato o fuorviante per l’interessato. Un’assenza di equità può comportare una perdita di autonomia degli interessati sui propri dati personali, metterli in una posizione in cui potrebbero non essere in grado di esercitare altri diritti del Gdpr e avere un impatto sui loro diritti fondamentali alla privacy e alla protezione dei dati personali”.
“La trasparenza – concludono i commissari – è un altro aspetto cruciale della protezione dei dati e conferisce agli interessati il controllo sul trattamento dei propri dati personali. Il rispetto delle disposizioni sulla trasparenza da parte dei titolari del trattamento garantisce che gli interessati siano pienamente informati in anticipo sulla portata e sulle conseguenze del trattamento dei propri dati personali e siano in grado di esercitare i propri diritti”.
