Trecentodieci milioni di euro. Tanto costerà a LinkedIn non aver rispettato le regole europee sulla privacy dei suoi utenti. Come nel recente caso di Pinterest, denunciata per pratiche simili, la piattaforma di proprietà di Microsoft ha ricevuto una pesante sanzione dall’autorità irlandese per la protezione dei dati (Dpc), che ha concluso un’indagine durata sei anni rilevando gravi violazioni nel modo in cui il network professionale gestisce e utilizza le informazioni personali dei suoi iscritti. Una decisione destinata a fare scuola nel panorama della protezione dati in Europa.
La vicenda ha inizio il 20 agosto 2018, quando l’organizzazione no-profit francese La Quadrature Du Net presenta una denuncia all’autorità per la privacy francese. Come riportato nei documenti ufficiali della Dpc, l’indagine si è concentrata su due aspetti critici: l’analisi comportamentale, ovvero il processo attraverso cui le informazioni fornite, dedotte o osservate su un individuo vengono utilizzate per indirizzargli pubblicità mirata o aggregate con altri dati per scopi pubblicitari; e la pubblicità targettizzata, piuttosto il sistema con cui specifici annunci vengono mostrati a una persona sulla base delle informazioni possedute su di lei.
Il fascicolo è stato poi preso in carico dai commissari per la protezione dei dati irlandesi, Dr. Des Hogan e Dale Sunderland, che hanno identificato tre violazioni fondamentali del regolamento europeo (Gdpr). In primo luogo, LinkedIn non ha ottenuto un consenso valido per il trattamento dei dati di terze parti dei suoi membri, dato che “il consenso ottenuto non era liberamente dato, sufficientemente informato, specifico o non ambiguo”. Inoltre, come evidenziato nel comunicato pubblicazione della Dpc, la piattaforma non è riuscita a dimostrare un ragionevole interesse nel trattamento sia dei dati di prima parte (forniti direttamente dagli utenti) che di quelli di terze parti per analisi comportamentale e pubblicità mirata. Il terzo punto riguarda la mancata trasparenza: LinkedIn non ha fornito informazioni adeguate agli utenti su come utilizzava le basi legali previste dal Gdpr per il trattamento dei loro dati.
Microsoft era già preparata
La sanzione di 310 milioni rappresenta la quinta multa più alta mai comminata da un’autorità di protezione dati nell’Ue e la sesta più grande in assoluto da quando il Gdpr è entrato in vigore nel 2018. Per quanto significativa, tuttavia, la multa non coglie impreparato il gigante tecnologico. Un tessera finanziario citato dal quotidiano irlandese rivela un fatto sorprendente: il colosso di Redmond aveva previsto la multa dopo aver visto “una versione non pubblica della bozza di decisione” della Dpc nel giugno 2023, stanziando una cifra superiore del 27% rispetto alla sanzione finale. Non solo: nei documenti contabili di LinkedIn Ireland Unlimited Company, i dirigenti della filiale irlandese hanno specificato che “Microsoft ha fornito un’indennità alla società contro tutte le potenziali multe disposte dalla Dpc” e che quindi “non ci sarà alcun impatto finanziario sull’azienda”.
Una mossa che dimostra come il gruppo fosse ben consapevole dei rischi legati alle pratiche di gestione dei dati personali sulla piattaforma. La cifra accantonata, 425 milioni di dollari, era stata comunicata agli investitori in un aggiornamento finanziario, nel quale Microsoft aveva anche dichiarato che avrebbe contestato “la base giuridica e l’importo della multa proposta” e che avrebbe continuato a “difendere la propria conformità al Gdpr”. Tuttavia, secondo quanto riporta The Irish Times, alla domanda se l’azienda intenda presentare ricorso contro la decisione finale, una portavoce di LinkedIn ha risposto in modo evasivo, dicendo che “al momento il nostro focus è garantire che le nostre pratiche pubblicitarie soddisfino questa decisione entro la scadenza stabilita dalla Dpc”.
Le autorità europee concordi sulla sanzione dopo sei anni di indagini
L’inchiesta è durata ben sei anni, dal 2018 a oggi. Un tempo particolarmente lungo che è servito agli investigatori per analizzare nel dettaglio le complesse pratiche di raccolta e utilizzo dei dati personali della piattaforma, in particolare per quanto riguarda l’analisi comportamentale e la pubblicità mirata. Il caso ha richiesto approfondite valutazioni tecniche e legali per determinare le esatte violazioni del Gdpr. Solo nel luglio 2024 l’autorità di Dublino, come previsto dall’Articolo 60 del regolamento, ha sottoposto la sua bozza di decisione al meccanismo di cooperazione europeo. Un processo che coinvolge il Comitato europeo per la protezione dei dati (Edpb) e tutte le autorità nazionali attraverso il cosiddetto “sportello unico”. Questo sistema centralizzato permette di coordinare l’applicazione del Gdpr quando le violazioni riguardano più paesi dell’Unione: le authority degli altri Stati membri hanno infatti il diritto di sollevare obiezioni motivate sia sull’entità delle sanzioni che sulle misure correttive proposte, e in caso di disaccordo l’Edpb può essere chiamato a risolvere la controversia con decisioni vincolanti. In questo caso, nessuna delle autorità di protezione dati dell’Unione ha contestato la linea irlandese.