I social media si trovano ancora sotto la lente dell’Autorità Garante per la Protezione dei Dati Personali di San Marino, stavolta con una sanzione di 4 milioni di euro. Dopo il data breach che aveva esposto mezzo miliardo di utenti del social network è stata aperta una complessa istruttoria che ha avuto l’esito di comprovare la diffusione illecita dei dati personali di 12 mila e 700 cittadini della Repubblica di San Marino, raccogliendo evidenze circa l’inadeguatezza delle misure di sicurezza adottate a tutela degli interessati.
Nel corso delle interlocuzioni che hanno fatto seguito alla richiesta di fornire chiarimenti, Facebook ha avuto modo di dichiarare che quanto accaduto va imputato a tecniche di “data scraping”, ovverosia all’impiego di bot per l’estrazione massiva di dati da un sito web sfruttandone alcune funzionalità ed eludendo i tentativi di limitazione degli accessi. Ciò non comporta però un’esenzione da responsabilità, in quanto l’evento non si poneva nel novero dell’imponderabile, ma, a parere dell’Authority, in una prevedibilità di evento coerente con una corretta valutazione dei rischi.
Tutto considerato, dunque, è stata mossa la contestazione circa la non adeguatezza delle misure predisposte da parte del colosso di Menlo Park per non essere stati in grado di prevenire attività di scraping non autorizzato. Ha avuto particolare rilievo anche quanto viene dichiarato a tale riguardo dallo stesso Facebook nei confronti della platea degli utenti, con tanto di “team dedicato, l’External Data Misuse (EDM), che lavora per fare in modo che per gli scraper sia più difficile e più costoso raccogliere i dati dai nostri servizi o trarne profitto”, da cui si è potuta trarre l’evidenza circa la chiara consapevolezza del rischio. Un ulteriore elemento oggetto di valutazione in relazione all’ammontare della sanzione è stato inoltre il mancato riscontro di alcuna misura predisposta per l’attenuazione del danno subito dagli interessati (come specificamente indicato dall’art. 83.2 lett. c) GDPR), i quali hanno avuto conoscenza del data breach solamente dai media e non direttamente dal titolare del trattamento. E i rischi sono tutt’altro che da sottovalutare, come abbiamo già avuto modo di considerare.
Il provvedimento presenta non pochi elementi di spunto per poter prospettare future istruttorie in cooperazione con altre autorità di controllo tanto nei confronti di Facebook quanto, in generale, verso una concreta responsabilizzazione dei giganti dei social media soprattutto sotto il profilo delle misure di sicurezza e la predisposizione di specifiche tutele e garanzie nei confronti dei propri utenti.
