L’Autorità francese per la protezione dei dati, la Commission Nationale de l’Informatique et des Libertés (CNIL), a seguito di un’indagine condotta nei confronti di Discord, ha sanzionato lo sviluppatore per mancata conformità al GDPR, per la rilevante somma di 800mila euro.
Nel corso dell’indagine, infatti, sono emersi diversi profili di criticità, connessi alla violazione dei principali obblighi imposti dal GDPR, con particolare riguardo al termine di conservazione dei dati ed alle misure di sicurezza applicati ai dati personali stessi.
“Il fatto che questa grossa società statunitense abbia violato alcune tra le più importanti disposizioni del GDPR rappresenta un chiaro segnale di quanta strada ci sia ancora da fare per far rispettare pienamente la normativa sulla data protection”, afferma l’Avv. Anna Cataleta, Senior Partner P4I – Partners4Innovation. “In particolare, tale sanzione rappresenta un forte meccanismo di contrasto alla leggerezza con cui spesso oltreoceano vengono trattati i dati personali dei cittadini UE. Ciò fa emergere come non sia bastata l’invalidazione del Privacy Shield da parte della Corte di Giustizia dell’UE, nel 2020, a mettere in guardia gli Stati Uniti sulla necessità di garantire il pieno rispetto dei diritti fondamentali di tutti gli individui, senza alcuna distinzione”.
Tuttavia, continua l’Avv. Cataleta, “è opportuno anche considerare che si avvicinano inesorabilmente i tempi per l’adozione del nuovo accordo UE-USA sui trasferimenti di dati personali, grazie alla firma da parte del Presidente Biden, il mese scorso, del relativo Executive Order, in ottica di implementazione del nuovo quadro sulla data protection tra UE e USA. Viene dunque spontaneo chiedersi se effettivamente tale nuovo accordo sarà portatore di una maggiore sensibilità nell’effettuazione delle attività di trattamento dei dati personali o se invece rappresenterà un goffo tentativo di riconciliazione destinato a essere lettera morta, come già prevedono alcuni importanti esponenti della privacy”.
Telemarketing molesto e ingannevole, Enel sanzionata da Antitrust
Indice degli argomenti
L’indagine condotta da CNIL
Come anticipato in premessa, l’indagine condotta da CNIL si è focalizzata sulle modalità di trattamento dei dati da parte di Discord Inc., società con sede negli Stati Uniti, titolare di una piattaforma omonima che fornisce un servizio di c.d. voice over IP (ossia un sistema che consente, mentre si sta utilizzando il computer, utilizzato in particolar modo dalle comunità di videogiocatori, per chattare online tramite il microfono o la webcam) e di messaggistica istantanea.
La piattaforma consente ai propri utenti di creare anche dei server o delle stanze private all’interno delle quali condividere contenuti testuali, audio e video.
L’indagine ha avuto ad oggetto sia il sito web della piattaforma che l’applicazione mobile della stessa; nel 2020 CNIL ha altresì condotto una ispezione documentale tramite l’invio di un questionario alla società.
Come riporta la stessa CNIL all’interno del comunicato ufficiale reso sul proprio sito istituzionale, a seguito dell’avvio delle indagini nei confronti di detto servizio, il comitato ristretto (organismo dell’autorità responsabile dell’emissione di sanzioni) ha ritenuto che la società avesse violato diversi obblighi previsti dal GDPR, provvedendo così con l’irrogazione della citata sanzione di € 800.000.
Nella determinazione dell’ammontare della sanzione, l’Autorità ha tenuto conto, a fronte delle violazioni accertate, anche del numero delle persone coinvolte e degli sforzi comunque compiuti dalla società nel corso del procedimento per poter garantire la risoluzione delle criticità individuate, oltre che del fatto che il modello di business principale della società non consiste nell’utilizzo dei dati personali conferiti dall’utente, come indicato dall’art. 83 GDPR.
Più nel dettaglio, il CNIL ha accertato le seguenti violazioni da parte di DISCORD:
- mancata definizione e rispetto di un periodo di conservazione dei dati adeguato alla finalità;
- inosservanza dell’obbligo di informazione dell’interessato;
- mancata protezione dei dati per impostazione predefinita (by default);
- mancata garanzia della sicurezza dei dati personali;
- mancato svolgimento di una valutazione d’impatto sulla protezione dei dati.
La violazione del principio di limitazione della conservazione
L’art. 5 GDPR prevede che i dati personali debbano essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”. Detto principio, viene identificato altresì come principio della “limitazione della conservazione”, e ha lo scopo di evitare che la conservazione dei dati e, dunque, il loro trattamento possa avvenire per tempi eccessivamente sproporzionati rispetto a quanto necessario, riducendo conseguentemente il rischio connesso al trattamento dei dati medesimi.
Nel caso di specie, il CNIL ha riscontrato che la società non aveva definito una politica precisa per il periodo di conservazione dei dati personali: all’interno del registro del trattamento esaminato, in particolare, il periodo di conservazione dei dati personali trattati non veniva addirittura menzionato.
“Pertanto”, si legge nel provvedimento, “i dati sono stati conservati per più di sei anni, data in cui è stato lanciato il servizio DISCORD”, e da allora “la società non ha effettuato alcuna cancellazione o archiviazione regolare dei dati al termine di un periodo definito”. Tale circostanza risulta particolarmente rilevante alla luce del fatto che “all’interno del database DISCORD ci sono 2.474.000 milioni di account di utenti francesi che non hanno utilizzato il proprio account per più di tre anni e 58.000 account che non sono stati utilizzati per più di cinque anni, senza che la società abbia fornito alcuna spiegazione o giustificazione specifica per mantenere questi account inattivi”.
A fronte di detta contestazione la società ha affermato di non disporre di una policy scritta relativa alla conservazione dei dati personali, ma di star provvedendo alla sua implementazione per eliminare gli account inattivi quando la società può concludere che l’utente ha abbandonato il proprio account. Nelle more della conclusione del procedimento, provvedeva poi all’adozione di una politica scritta in tal senso.
Il Comitato ristretto ha dunque accertato la violazione del principio della limitazione della conservazione, dando comunque atto dell’avvenuta implementazione di politiche conformi all’art. 5 GDPR.
La violazione dell’obbligo di trasparenza
La seconda violazione accertata da parte del CNIL riguarda l’omessa resa agli interessati delle informazioni contenute all’art. 13 GDPR, il quale afferma che il titolare ha l’obbligo di indicare nell’informativa il periodo di conservazione dei dati previsto.
Le linee guida sulla trasparenza ai sensi del regolamento (UE) 2016/679, che chiariscono le disposizioni dell’articolo 13, specificano poi che “il periodo di conservazione […] dovrebbe essere formulato in modo tale che l’interessato possa valutare, a seconda della situazione in cui si trova, quale sarà il periodo di conservazione in caso di dati specifici o in caso di finalità specifiche, saranno conservati per tutto il tempo richiesto dalla finalità legittima del trattamento. Se del caso, diverso devono essere menzionati i periodi di conservazione per le diverse categorie di dati personali e/o le diverse finalità di trattamento, compresi i periodi per scopi di archiviazione”.
Essendo l’informativa incompleta in merito al profilo della conservazione dei dati, in quanto non esistevano periodi o criteri specifici per determinarli, il Comitato ristretto accertava, dunque, la violazione degli obblighi posti in capo al titolare dall’art. 13 GDPR.
Violazione del principio di privacy by default
All’art. 25 par. 2 del GDPR si prevede che “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento”.
Tuttavia, nel corso dell’indagine si è riscontrato che “l’utente deve eseguire diverse azioni per uscire dall’applicazione Discord su Windows e Linux. L’applicazione è configurata per rimanere attiva anche quando l’utente chiude la finestra principale […] il che permette di continuare a comunicare a voce senza occupare più spazio sul desktop del computer. Solo un piccolo indicatore [nella barra delle applicazioni] permette di capire che l’applicazione è attiva”.
Detta pratica, secondo quanto rilevato dal CNIL, non appare conforme al principio di privacy by default, in quanto, in assenza di informazioni sufficientemente chiare e visibili, presentava rischi significativi per gli utenti, potendo comportare un’intrusione nella loro privacy. Si accertava, pertanto, la violazione dell’art. 25 GDPR.
Nelle more dell’emanazione del procedimento, Discord provvedeva comunque all’implementazione di una finestra pop-up che avvisa gli utenti connessi ad un canale vocale che l’app Discord è ancora in esecuzione e che questi parametri possono essere modificati direttamente dall’utente.
La violazione delle misure adeguate di sicurezza
L’art. 32 GDPR pone in capo al titolare l’obbligo di implementare misure tecniche ed organizzative adeguate per garantire un livello di sicurezza dei dati personali adeguato al rischio connesso al trattamento posto in essere.
In relazione a detto profilo, l’Autorità rilevava che “durante la creazione di un account su DISCORD, è stata accettata una password composta da sei caratteri, comprese lettere e numeri. […] tali password, prive di sufficienti criteri di complessità e non associate ad alcuna misura di sicurezza aggiuntiva, non consentono di garantire la sicurezza dei dati personali trattati dalla società e di impedire l’accesso a tali dati da parte di terzi non autorizzati”.
In dette condizioni, dunque, considerati i rischi in cui incorrono i singoli utenti, il CNIL riteneva sussistente una violazione del principio contenuto nell’art. 32 GDPR, in quanto la politica di gestione delle password della società non era sufficientemente robusta e vincolante per garantire la sicurezza dei dati. Anche su detto punto, tuttavia, la società apportava una serie di modifiche volte ad allinearsi alle prescrizioni del GDPR.
La mancata conduzione della DPIA
L’art. 35 GDPR prevede che “ Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”.
Il considerando 91 del GDPR prevede, poi, che una valutazione d’impatto “dovrebbe applicarsi, in particolare, a operazioni di trattamento su larga scala che mirano a trattare un volume considerevole di dati personali a livello regionale, nazionale o sovranazionale, che possono interessare un numero significativo degli interessati […]”.
Nel caso di specie, si riscontrava la sussistenza di due dei criteri che potevano consentire di ritenere che il trattamento comportasse un rischio “elevato”:
- la raccolta di dati su larga scala;
- la raccolta di dati relativi a persone vulnerabili (trattando i dati di soggetti di età superiore ai quindici anni, da considerarsi dunque minori).
La società opponeva a detta contestazione un’interpretazione estesa del contenuto delle linee guida del WP29, non condivisa dall’Autorità, alla luce del numero degli interessati, del volume dei dati e/o della gamma delle diverse categorie di dati trattati, della durata dell’attività di trattamento dei dati e dell’estensione geografica dell’attività di trattamento.
Si accertava, dunque, la violazione degli obblighi previsti dall’art. 35 GDPR, posto che nelle more dell’emanazione del provvedimento la società provvedeva alla conduzione di due DPIA, trasmesse all’Autorità, dalle quali emerge che il trattamento non è suscettibile di creare un rischio elevato per i diritti e le libertà degli individui.
