La Commissione irlandese per la protezione dei dati (DPC) ha imposto una multa di 310 milioni di euro alla rete aziendale LinkedIn, di proprietà di Microsoft. Oggetto dell'indagine è stato il trattamento dei dati personali degli utenti di LinkedIn per l'analisi comportamentale e la pubblicità mirata. Cosa possono imparare le altre aziende dalla multa.
La CNIL inoltra il reclamo di LinkedIn al DPC
L'indagine del DPC è stata avviata il 20 agosto 2018 a seguito di un reclamo dell'organizzazione no-profit francese La Quadrature Du Net. Il reclamo è stato prima presentato all'autorità francese per la protezione dei dati CNIL e poi trasmesso al DPC in qualità di autorità di controllo principale per LinkedIn.
Secondo il DPC, l'indagine riguardava "la legittimità, la correttezza e la trasparenza del trattamento dei dati personali degli utenti della piattaforma LinkedIn ai fini dell'analisi comportamentale e della pubblicità mirata". Il DPC ha rilevato che i dati personali in questione erano dati forniti direttamente a LinkedIn dai suoi membri (dati di prima parte) e dati raccolti da LinkedIn attraverso i suoi partner terzi in relazione ai suoi membri (dati di terzi).
Mancanza di consenso da parte degli utenti di LinkedIn
Nella sua decisione del 22 ottobre 2024, il DPC ha riscontrato diverse violazioni del GDPR:
- Art. 6 e Art. 5 par. 1 lit. a GDPR: LinkedIn non è stata in grado di fornire una base giuridica valida per il trattamento dei dati dei membri ai fini dell'analisi comportamentale e della pubblicità mirata. In particolare, il DPC ha rilevato che
- Il consenso non era valido perché il consenso ottenuto da LinkedIn non era volontario, non era sufficientemente informato o non era specifico e inequivocabile (articolo 6, paragrafo 1, lettera a), del GDPR).
- LinkedIn non ha potuto nemmeno invocare efficacemente l'articolo 6, paragrafo 1, lettera f), del GDPR (interesse legittimo) per trattare i dati personali dei suoi membri per l'analisi comportamentale e la pubblicità mirata o i dati di terzi per l'analisi. Gli interessi e i diritti e le libertà fondamentali degli interessati superano gli interessi di LinkedIn.
- LinkedIn non ha inoltre potuto invocare la necessità di adempiere al contratto (articolo 6, paragrafo 1, lettera b), del GDPR), in quanto il trattamento dei dati non era necessario per l'analisi comportamentale e la pubblicità.
- LinkedIn non ha inoltre fornito informazioni sufficienti sulle basi giuridiche utilizzate, violando i requisiti di trasparenza del GDPR, articoli 13 (1) (c) e 14 (1) (c) GDPR.
- Articolo 5, paragrafo 1, lettera a), del GDPR - Violazione del principio di correttezza: il DPC ha ritenuto che il trattamento dei dati da parte di LinkedIn violasse il principio di correttezza, in quanto le pratiche limitavano la fiducia e la libertà di scelta degli utenti in relazione ai loro dati personali.
Suggerimento di lettura: L'EDPB pubblica le linee guida sul legittimo interesse
Misure e sanzioni del DPC nei confronti di LinkedIn
In risposta a queste violazioni, il DPC ha attuato diverse misure:
- Un reclamo contro LinkedIn ai sensi dell'articolo 58, paragrafo 2, lettera b), del GDPR.
- Tre sanzioni amministrative per un totale di 310 milioni di euro ai sensi dell'articolo 58, paragrafo 2, lettera i), e dell'articolo 83 del GDPR.
- Un ordine per rendere il trattamento dei dati conforme al GDPR, ai sensi dell'articolo 58, paragrafo 2, lettera d), del GDPR.
Cosa possono imparare le aziende dalla decisione di LinkedIn
Questa decisione evidenzia gli enormi rischi per le aziende che trattano dati personali senza un'adeguata base giuridica. Le conseguenze includono non solo sanzioni finanziarie, ma anche danni duraturi alla reputazione. Da questa decisione derivano diversi insegnamenti e obblighi per le aziende:
- Aumento delle misure di conformità:
Le aziende devono assicurarsi di poter dimostrare di avere una base giuridica valida per il trattamento dei dati personali e che il consenso, se utilizzato, soddisfi i rigorosi requisiti del GDPR. - Chiarezza e trasparenza:
Le aziende sono tenute a comunicare le loro pratiche di trattamento dei dati in modo chiaro e comprensibile, in modo che gli utenti siano informati sulle finalità e sulle conseguenze del trattamento dei dati e possano esercitare i loro diritti. - Equità e diritti degli utenti:
Le aziende devono non solo assicurare la base giuridica del loro trattamento dei dati, ma anche garantire la correttezza e la protezione dei diritti degli interessati. - Rischio di sanzioni:
La decisione dimostra che le violazioni del GDPR non solo possono avere conseguenze legali, ma possono anche comportare notevoli rischi finanziari.
Il rispetto dei principi di correttezza, trasparenza e liceità nel trattamento dei dati non è solo un requisito legale, ma anche un fattore chiave per mantenere la fiducia degli utenti. Le aziende devono quindi rivedere regolarmente i propri processi di trattamento dei dati e assicurarsi che siano conformi ai severi requisiti del GDPR, al fine di ridurre al minimo i rischi legali e proteggere i diritti dei propri utenti.
Volete effettuare una valutazione del rischio GDPR per la vostra azienda? Contattateci, saremo lieti di consigliarvi.