La Commissione irlandese per la protezione dei dati (DPC) ha inflitto a LinkedIn Ireland una multa di 310 milioni di euro, in seguito a una lunga indagine che ha esaminato le modalità di trattamento dei dati personali per fini di analisi comportamentale e pubblicità mirata. Questa decisione, annunciata il 24 ottobre 2024, rappresenta uno dei casi più significativi relativi all’applicazione del Regolamento generale sulla protezione dei dati (GDPR) contro una delle maggiori piattaforme social. L’indagine è stata avviata in risposta a una denuncia iniziale presentata dall’organizzazione francese La Quadrature du Net, che aveva portato il caso all’attenzione dell’autorità francese per la protezione dei dati.
Le violazioni contestate a LinkedIn riguardano in particolare la mancanza di una base legale adeguata per il trattamento dei dati degli utenti. Secondo la decisione del DPC, LinkedIn non ha ottenuto il consenso valido dai suoi membri per raccogliere e utilizzare i loro dati personali a scopo di analisi comportamentale e pubblicità mirata. Il consenso raccolto non è stato considerato “liberamente espresso, specifico, informato e inequivocabile”, come richiesto dal GDPR. Inoltre, LinkedIn non è stato in grado di giustificare il trattamento dei dati sulla base dell’interesse legittimo della piattaforma, poiché i diritti fondamentali degli utenti hanno prevalso su tali interessi.
Le criticità non si limitano al mancato consenso. LinkedIn è stato anche accusato di violare il principio di trasparenza, un pilastro del GDPR. La trasparenza richiede che gli utenti siano pienamente informati su come e perché i loro dati vengono raccolti e trattati. In questo caso, LinkedIn non ha fornito informazioni sufficientemente chiare agli utenti riguardo alle basi giuridiche del trattamento dei loro dati, violando gli articoli 13 e 14 del regolamento.
La decisione della DPC prevede diverse misure correttive: oltre alla multa record, LinkedIn dovrà adeguare le sue pratiche di gestione dei dati in modo da rispettare pienamente il GDPR. Questo include la revisione delle modalità con cui raccoglie il consenso dagli utenti e l’introduzione di maggiore chiarezza nelle comunicazioni riguardanti il trattamento dei dati.
Il Vice Commissario del DPC, Graham Doyle, ha commentato che il trattamento dei dati personali senza un’adeguata base giuridica rappresenta una grave violazione dei diritti fondamentali degli individui, sottolineando come la protezione della privacy sia uno dei principi cardine del GDPR. Doyle ha inoltre evidenziato che la legge richiede un equilibrio tra gli interessi delle aziende e i diritti dei singoli, e che la decisione del DPC invia un messaggio chiaro a tutte le aziende che operano nell’UE.
La sanzione da 310 milioni di euro riflette la gravità delle violazioni commesse da LinkedIn e l’importanza che la DPC attribuisce alla protezione dei dati personali. La trasparenza e la correttezza nel trattamento dei dati non sono solo obblighi normativi, ma rappresentano un aspetto fondamentale della fiducia tra le aziende e i loro utenti.
