giustiziagiusta.info
Trecentodieci milioni di euro. Questa è la sanzione che LinkedIn, la famosa piattaforma professionale di proprietà di Microsoft, dovrà pagare per non aver rispettato le normative europee sulla protezione dei dati.
Un fatto che non solo segna un punto per la privacy in Europa, ma rappresenta anche un campanello d’allarme per altre piattaforme social. L’autorità irlandese per la protezione dei dati ha concluso un’investigazione durata sei anni e ha trovato diverse violazioni gravi nel modo in cui LinkedIn gestiva le informazioni personali dei suoi utenti. Questa decisione è destinata a fissare un precedente importante nel panorama della protezione dei dati.
La storia di questa azione legale è iniziata il 20 agosto 2018. In quel momento, un’associazione no-profit francese chiamata La Quadrature Du Net ha deciso di muovere accuse contro LinkedIn, presentando una denuncia all’autorità per la privacy francese. Questa denuncia ha attivato una serie di indagini che hanno messo in luce gravi problematiche nel modo in cui LinkedIn raccoglieva e utilizzava i dati degli utenti. Nello specifico, l’inchiesta si è concentrata su due aspetti cruciali: l’analisi comportamentale e la pubblicità mirata. In poche parole, si tratta di comprendere come vengono utilizzati i dati per inviare pubblicità specifiche agli utenti e se l’approccio adottato da LinkedIn fosse lecito e trasparente.
Secondo i documenti ufficiali della DPC, la questione non era semplice. L’analisi comportamentale implica che le informazioni condivise dagli utenti o dedotte da comportamenti online vengono sfruttate per profilare le persone e indirizzarle verso pubblicità personalizzate. Non è un segreto che i colossi tech abbiano bisogno di queste informazioni per monetizzare i loro servizi, ma la legge richiede che gli utenti debbano essere informati e dare il consenso in modo chiaro e esplicito. LinkedIn, purtroppo, non è riuscita a soddisfare questi requisiti e il risultato è stato un’inchiesta approfondita che ha svelato quanto fosse complesso e, in effetti, problematico il loro sistema di gestione dei dati.
L’agenzia irlandese ha confermato tre violazioni principali delle normative europee conosciute come GDPR. Il primo punto critico riguarda il consenso, poiché LinkedIn non ha ottenuto un consenso valido per il trattamento dei dati di terze parti. In sostanza, i dati non sono stati forniti dagli utenti in modo chiaro e consapevole. Il secondo punto mette in evidenza la mancanza di legittimo interesse nella gestione dei dati, sia di prima che di terza parte. Infine, l’assenza di trasparenza è stata un grave problema emerso dall’indagine. LinkedIn non ha informato gli utenti in modo adeguato su come utilizzasse i dati, infrangendo così il GDPR. Questo comportamento ha spinto l’autorità a prendere provvedimenti concreti per proteggere i diritti degli utenti.
Inoltre, la decisione di multare LinkedIn parla da sola: il colosso tech non ha rispettato le norme stabilite. La mancanza di chiarezza nella gestione dei dati ha portato a conseguenze significative. Questo solleva interrogativi su quante altre piattaforme stiano esponendo gli utenti a situazioni simili e quali siano le reali implicazioni per le aziende che non si allineano alle regole di protezione dei dati. È un tema caldo nel panorama tecnologico, che continuerà a essere al centro dell’attenzione.
La multa di 310 milioni di euro rappresenta la quinta sanzione più elevata mai inflitta da una autorità di protezione dati nell’Unione Europea. Nonostante ciò, Microsoft, il padrone di LinkedIn, non si è fatta cogliere di sorpresa. Secondo quanto riportato da fonti affidabili, il colosso di Redmond aveva già previsto questa sanzione dopo aver visionato una bozza della decisione nel giugno 2023. Hanno, infatti, messo da parte una cifra persino superiore, calcolando una somma di 425 milioni di dollari. I dirigenti di LinkedIn Ireland Unlimited Company hanno anche confermato che la Microsoft ha garantito un’indennità in caso di multe imposte dalla DPC. Questi preparativi suggeriscono che la società era ben consapevole delle problematiche riguardanti la privacy.
Questa lungimiranza di Microsoft indica una chiara strategia di gestione delle crisi. Invece di reagire sul momento, hanno scelto di stare un passo avanti e di essere preparati per eventualità avverse. Nonostante la multa, si sono dichiarati pronti a difendere la loro conformità al GDPR, ponendo l’accento sull’intenzione di contestare sia la base giuridica sia l’importo della sanzione proposta. Non è un caso che abbiano registrato l’importo in documenti contabili e informato gli investitori. La risposta iniziale da parte di LinkedIn è stata evasiva, concentrandosi più su come adattarsi ai requisiti imposti dalla DPC piuttosto che su azioni legali contro la multa.
L’indagine condotta dall’autorità irlandese ha richiesto ben sei anni di lavoro. Durante questo periodo, gli investigatori hanno studiato nei dettagli le pratiche di raccolta e utilizzo dei dati della piattaforma LinkedIn. Questo lunghissimo processo ha richiesto una serie di valutazioni tecniche e legali per identificare le violazioni specifiche del GDPR. Solo nel luglio 2024, l’autorità irlandese ha presentato la bozza di decisione al meccanismo di cooperazione europeo, coinvolgendo vari soggetti, inclusi i membri del Comitato europeo per la protezione dei dati.
Tutti questi passaggi sono stati fondamentali per garantire che le sanzioni fossero giustificate e coordinate. Il sistema stabilisce che le autorità nazionali possono esprimere obiezioni sull’entità delle sanzioni e, quando necessario, il Comitato può intervenire per risolvere eventuali controversie. Ma in questo caso, gli altri organismi di protezione dati all’interno dell’Unione Europea non hanno contestato la decisione presa dalle autorità irlandesi. Questo riflette un livello di consenso significativo su come i dati siano stati gestiti e le violazione che ne sono scaturite.
L’azione della DPC ha incluso non solo la multa, ma anche misure correttive. Oltre alle sanzioni monetarie, LinkedIn ha ricevuto un richiamo formale e dovrà adeguare i propri processi di trattamento dati al GDPR. Le autorità stanno cercando di garantire che l’uso delle informazioni personali sia legalmente fondato e trasparente. LinkedIn ha ora trenta giorni per decidere se impugnare la decisione. Tuttavia, le informazioni iniziali suggeriscono che l’azienda potrebbe preferire riformare le proprie pratiche piuttosto che affrontare una battaglia legale.