Data breach Facebook: l’autorità di controllo irlandese sanziona Meta per 251 milioni di euro
La Data Protection Commission irlandese ha sanzionato Meta per 251 milioni di euro in relazione a un data breach avvenuto a settembre 2018, riguardante una violazione di sicurezza segnalata nel 2018 che ha coinvolto circa 29 milioni di account Facebook, di cui 3 milioni riconducibili ad interessati dell’Unione Europea.
Secondo quanto risulta dal comunicato stampa della Data Protection Commission irlandese sono stati compromessi i dati personali relativi a: nome dell'utente; indirizzo email; numero di telefono; posizione; luogo di lavoro; data di nascita; religione; genere; post sulle timeline; gruppi di cui un utente era membro; nonché dati personali dei bambini. La violazione è stata generata in ragione di un bug relativo ad una nuova funzionalità che ha consentito l’impiego abusivo da parte di terzi non autorizzati dei token utente della piattaforma, che sebbene risolta poco dopo la scoperta ha consentito una serie di accessi abusivi ai profili. L’azione è stata ricondotta all’azione di cybercriminali, che hanno sfruttato la vulnerabilità per raccogliere illecitamente i dati personali degli utenti.
Le contestazioni mosse dall’autorità di controllo hanno portato ad una serie di ammonimenti, nonché all’accertamento di violazioni riguardanti la gestione del data breach e il rispetto dei principi di privacy by design e privacy by default.
Per quanto riguarda la gestione del data breach, è stata evidenziata la carenza degli elementi informativi richiesti dall’art. 33 par. 3 GDPR, nonché la mancanza di una documentazione adeguata ai sensi dell’art. 33 par. 5 GDPR per consentire all’autorità di controllo di verificare l’adeguatezza delle misure di mitigazione intraprese in relazione alla circostanze della violazione.
Per quanto riguarda l’aspetto della mancata integrazione dei principi di privacy by design e di privacy by default, la rilevanza di non aver integrato misure adeguate è stata resa dal commento a riguardo del Vice Commissario della DPC, Graham Doyle:
«Questa azione di enforcement evidenzia come la mancata integrazione dei requisiti di protezione dei dati durante l'intero ciclo di progettazione e sviluppo possa esporre gli individui a rischi e danni molto seri, inclusi rischi per i diritti e le libertà fondamentali degli individui. I profili Facebook possono, e spesso contengono, informazioni su questioni come credenze religiose o politiche, vita sessuale o orientamento, e questioni simili che un utente potrebbe voler divulgare solo in circostanze particolari. Consentendo l'esposizione non autorizzata delle informazioni del profilo, le vulnerabilità dietro questa violazione hanno causato un grave rischio di uso improprio di questi tipi di dati.».
Sebbene sembra che Meta abbia già annunciato la propria intenzione di proporre reclamo, la sanzione comminata conferma l’importanza di dover svolgere analisi di rischi in concreto e del presidio fondamentale che è espresso dal dover tenere conto degli obblighi di data protection in sede di progettazione delle attività di trattamento.
