tastiera gdpr

Il GDPR (ovvero il Regolamento Europeo sulla protezione dei dati personali delle persone fisiche), ormai applicabile da qualche anno, ha introdotto nuove sfide e nuovi obblighi in materia di protezione dei dati personali, ai quali i social network – più che comprensibilmente – non possono sottrarsi.

Sembrerebbe, però, che Twitter abbia tentato di evitare uno degli oneri più stringenti e puntuali previsti dalla normativa in materia: la notifica di un data breach.

Nel presente articolo andremo quindi a focalizzarci sulle disposizioni in materia e sulle conseguenze a cui Twitter è andata incontro, concretizzatesi in una sanzione pari a 450.000 euro, irrogata dalla Data Protection Commission irlandese, partendo dalla definizione di data breach, che consiste in “una violazione di sicurezza – accidentale o illecita- che causa la modifica, la divulgazione o l’accesso non autorizzato ai dati personali conservati o trattati.

Il caso Twitter

L’indagine della DPC è iniziata nel gennaio 2019 in seguito alla segnalazione di una violazione ricevuta da Twitter. DPC ha scoperto che Twitter ha infranto gli articoli 33(1) e 33(5) del GDPR in termini di mancata conformità della notifica in tempo utile dell’incidente e della mancata documentazione adeguata. DPC ha imposto una sanzione amministrativa di 450.000 euro a Twitter come misura effettiva, proporzionata e dissuasiva.”

Questa è una parte del comunicato della Data Protection Commision irlandese (DPC, appunto). L’Autorità irlandese era competente in qualità di “Autorità capofila”, ai sensi dell’art. 56 del GDPR, in base all’ubicazione della sede legale della società, poiché la base europea della statunitense Twitter Inc. si trova appunto in Irlanda. Il DPC, al quale spetta poi infliggere la sanzione, ha dunque avviato e svolto un’indagine nei confronti di Twitter, constatando la violazione, da parte del social network, degli obblighi previsti dal GDPR in materia di data breach o violazione dei dati personali.

Il breach preso in considerazione è stato causato da un bug che ha interessato la funzionalità “Proteggi i tuoi tweet”, rendendo così pubblici, a insaputa degli utenti, i dati personali degli stessi. Le stime di Twitter contano circa 88.726 utenti coinvolti nella violazione, nell’arco di un lasso temporale che va dal 5 settembre 2017 all’11 gennaio 2019. La scoperta, da parte del social network, avviene, però, soltanto il 26 dicembre 2018.

Il coinvolgimento delle altre Autorità Garanti Europee

Nel gennaio 2019, il DPC irlandese ha fornito il proprio progetto di decisione alle altre Autorità europee coinvolte, in quanto la violazione avrebbe riguardato utenti collocati in diversi stati europei.

Hanno così fatto seguito le obiezioni delle Autorità Garanti di Italia, Germania e Austria, le quali hanno costatato come il range entro il quale intendeva collocare l’ammontare della sanzione l’autorità irlandese – tra i 135.000€ e i 275.000€ – fosse non conforme alla reale gravità della violazione intercorsa, considerando anche il ritardo nella notifica del data breach da parte di Twitter e della non adeguata documentazione raccolta a riguardo. Infatti, queste Autorità hanno ritenuto che la stima dell’ammenda effettuata dal DPC non tenesse debitamente in considerazione alcune criticità che avrebbero reso il comportamento del social network meritevole di una sanzione maggiore, per renderla effettivamente adeguata, proporzionale e dissuasiva, come richiesto dalla normativa vigente.

Il Comitato Europeo per la protezione dei dati

Da queste obiezioni, si è innescata una procedura mai avvenuta dall’entrata in vigore del regolamento 679/2016: è stata infatti avviata la procedura di risoluzione della controversia ai sensi articolo 65 del GDPR, che ha coinvolto l’EDPB (European Data Protection Board) sul punto. L’articolo menzionato, infatti, prevede che il Comitato Europeo per la protezione dei dati, organismo incaricato di garantire la coerente applicazione del regolamento generale  sulla Protezione dei Dati, adotti una decisione vincolante se, in un caso di cui all’articolo 60, paragrafo 4, un’autorità di controllo interessata ha sollevato un’obiezione pertinente e motivata a un progetto di decisione dell’autorità di controllo capofila e l’autorità capofila di controllo non abbia dato seguito all’obiezione o abbia rigettato tale obiezione in quanto non pertinente o non motivata. La decisione vincolante riguarda tutte le questioni oggetto dell’obiezione pertinente e motivata, in particolare se sussista una violazione del presente regolamento”.

In questo caso l’autorità di controllo capofila è quella irlandese, essendo collocata in Irlanda la sede europea di Twitter, ragione per cui spetta poi a quest’ultima infliggere la sanzione opportunamente decisa.

Il 9 novembre 2020 è quindi arrivata la decisione del Comitato Europeo per la protezione dei dati.

Il Comitato, le cui decisioni sono immediatamente vincolanti per le Autorità europee, ha riscontrato la necessità di rivedere l’ammenda originariamente proposta dal DPC irlandese, sostenendo quindi la tesi dei Garanti italiano, tedesco e austriaco, proprio per la conclamata violazione da parte del noto social network dell’articolo 33, paragrafi 1 e 5 del GDPR (relativo appunto alla mancata notifica del data breach subito da Twitter).

La normativa

In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo […] Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo”.

Così recitano i paragrafi 1 e 5 dell’articolo 33 del GDPR, nei quali si ritrovano le regole da seguire quando viene accertata una violazione dei dati personali da parte del titolare del trattamento, in questo caso Twitter, e quando sono stati violati i diritti e le libertà delle persone fisiche, come nel caso di specie.

Oltre a non essere stato rispettato il termine entro cui notificare il data breach all’autorità di controllo competente, quindi, Twitter ha violato anche la disposizione che obbliga il titolare del trattamento a documentare minuziosamente tutte le circostanze che riguardano la violazione dei dati. Da queste carenze da parte di Twitter scatta il potere sanzionatorio in capo alle autorità di controllo competenti, le quali possono infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 del GDPR, in funzione delle circostanze di ogni singolo caso

Conclusioni

Il social network ha replicato asserendo che “Twitter ha lavorato a stretto contatto con l’Irish Data Protection Commission per supportare l’indagine. Abbiamo un impegno condiviso a proposito di sicurezza e privacy online, rispettiamo la decisione che fa riferimento alla non conformità del nostro processo di risposta all’incidente. Una conseguenza imprevista legata al personale al lavoro tra il giorno di Natale 2018 e il Capodanno ha fatto sì che la notifica fosse inviata dopo le 72 ore. Abbiamo introdotto cambiamenti così che altri incidenti possano essere segnalati nei tempi stabiliti”.

Ciononostante, la sanzione nei confronti di Twitter da parte del DPC è arrivata il 15 dicembre, in misura assai incisiva rispetto quella inizialmente proposta: 450.000,00 €.

Sicuramente vicende come questa portano alla luce tutte le insidie che caratterizzano l’era del digitale, in cui sempre più dati personali vengono utilizzati, condivisi e spesso violati. Questo, come altri casi similari, hanno avuto un epilogo – non felice per Twitter- consistente nell’inflizione di una pesante sanzione, che dovrà servire da monito e deterrente per prossimi comportamenti non conformi alla normativa in vigore. È sempre più chiaro che un comportamento ossequioso nei confronti della normativa in tema di privacy rappresenti una sicurezza, per le aziende, i social network e tutti i possibili titolari del trattamento, nello scongiurare possibili conseguenze negative a proprio carico, ma anche – e soprattutto – una tutela adeguata a tutti gli utenti interessati.

Redazione Diritto dell’Informatica

Ultimi aggiornamenti

intelligenza artificiale settimana lavorativa
Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
contratto vendere webinar
Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
tiktok
Cosa è successo? È notizia di pochi giorni fa l’apertura da parte della Commissione Europa di una indagine e di un procedimento formale nei confronti della piattaforma cinese TikTok per aver violato regole e norme che l’Unione Europea si è data a tutela degli utenti tra […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.