Trecentodieci milioni di euro: questo è il prezzo che LinkedIn dovrà pagare per non aver rispettato le norme europee sulla privacy.
Dopo Pinterest, anche la piattaforma di Microsoft ha ricevuto una sanzione severa dall’autorità irlandese per la protezione dei dati a seguito di un’indagine durata sei anni. Questo caso potrebbe segnare una svolta importante nel panorama della protezione dei dati in Europa, con implicazioni significative per altre aziende che operano nel settore.
La questione ha preso piede nel lontano agosto del 2018, quando un’organizzazione no-profit chiamata La Quadrature Du Net ha presentato un reclamo contro LinkedIn all’autorità per la privacy francese. L’indagine condotta dalla Dpc si è focalizzata su due aspetti cruciali: l’analisi comportamentale e la pubblicità mirata. Quest’ultima consiste in un metodo attraverso il quale specifiche pubblicità vengono mostrate a utenti in base alle informazioni in possesso della piattaforma. In pratica, si tratta di un sistema che utilizza i dati raccolti in modi che non sempre risultano chiari per gli iscritti.
Gli investigatori, ovvero Dr. Des Hogan e Dale Sunderland, hanno messo in luce tre gravi violazioni del regolamento europeo sul trattamento dei dati . In primo luogo, LinkedIn non ha ottenuto un consenso valido per trattare i dati di terze parti degli utenti. Il consenso, come riportato nella decisione finale, non era liberamente fornito, non sufficientemente informato e non specifico, rendendolo nullo. In aggiunta, la piattaforma non ha dimostrato il legittimo interesse per utilizzare questi dati sia di prima parte sia di terze parti a fini pubblicitari. Infine, LinkedIn ha fallito nel fornire informative trasparenti agli utenti riguardo alle basi legali invocate per il trattamento delle loro informazioni. Queste mancanze hanno portato l’autorità irlandese a emettere la multa record.
Microsoft aveva già immaginato questo scenario
La sanzione di 310 milioni di euro non è una misura da poco: si tratta della quinta multa più alta mai inferta da un’autorità di protezione dei dati nell’Unione europea. Tuttavia, Microsoft, società madre di LinkedIn, sembra non essersi fatta trovare impreparata. Infatti, un documento finanziario recentemente pubblicato ha rivelato che il colosso tecnologico aveva previsto un potenziale costo ancor maggiore. Lei aveva messo da parte 425 milioni di dollari, preparandosi a coprire eventuali sanzioni prima ancora che l’ente irlandese emettesse la decisione ufficiale. Questo dimostra una certa lungimiranza da parte dei vertici aziendali.
Diversamente da quanto potrebbe apparire a prima vista, LinkedIn non si trova in difficoltà economiche immediate per questa multa. Le dichiarazioni della filiale irlandese indicano che Microsoft si è impegnata a coprire tutti i costi in caso di multe inflitte dalla Dpc. Inoltre, in un recente aggiornamento, l’azienda ha informato gli investitori che intende contestare non solo l’importo della multa, ma anche la base legale su cui si fonda la decisione. Tuttavia, a fronte delle affermazioni fatte, le persone interessate si chiedono se LinkedIn effettivamente possa fare ricorso. Una portavoce ha preferito dribblare la questione, focalizzandosi invece sulla volontà di allinearsi con le richieste dell’autorità.
Un’indagine lunga e meticolosa
Il percorso che ha condotto alla sanzione è stato lungo, anzi, addirittura tortuoso. Sei anni, dal 2018 fino ai giorni nostri, hanno rappresentato un periodo di lavoro intenso per gli investigatori che hanno dovuto setacciare a fondo le pratiche di LinkedIn riguardo alla raccolta e all’uso dei dati personali. Le indagini hanno richiesto un approccio tecnico e legale ben articolato per chiarire le precise violazioni del Gdpr e nel luglio 2024, l’autorità irlandese ha presentato la sua decisione al Comitato europeo per la protezione dei dati.
Il sistema unico di cooperazione europea ha permesso di garantire che nessuno stato membro dissentisse sulla decisione. Questo è un aspetto chiave dell’implementazione del Gdpr, che si applica a entità operanti in più paesi dell’Unione. La Dpc ha infine prescritto tre differenti misure correttive, incluse le sanzioni monetarie che ammontano complessivamente ai 310 milioni di euro. A queste si aggiunge un richiamo formale e l’ordine di correggere le pratiche di LinkedIn in modo che siano conforme alle normative in vigore.
Questo passo, sottolineato dal vice commissario Graham Doyle, è volto a garantire che il diritto alla privacy degli utenti sia rispettato. Con il termine della sanzione, LinkedIn ha ora dei tempi certi per conformarsi, ma pare più orientata a sistemare la situazione piuttosto che contestarla.