Il peso pecuniario dei dati personali: la mega sanzione alla società creatrice del social network “Clubhouse”

Il peso pecuniario dei dati personali: la mega sanzione alla società creatrice del social network “Clubhouse”.

L’Autorità Garante per la privacy ha irrogato sanzioni a carico della società californiana Alpha Exploration – con ordinanza emanata il giorno 06 ottobre 2022 – quale proprietaria dell’app Clubhouse, un social network da più di dieci milioni di download nel 2022, di cui almeno un centinaio di migliaia utenti in Italia.

Il social consente agli utenti, mediante l’istallazione di applicazione mobile disponibile per piattaforma iOS e Android, di interagire reciprocamente attraverso lo scambio di audio vocali in stanze virtuali (denominate “room”) che consentono di instaurare conversazioni su argomenti di comune interesse.

La vicenda ha inizio con le segnalazioni ricevute nell’anno 2021 dall’Autorità sulle criticità relative a profili di sicurezza, esercizio dei diritti, mancanza di un rappresentante nell’Unione europea, attività di profilazione, conservazione dei dati personali; l’Autorità ha dato seguito alle segnalazioni attraverso l’espletamento dell’attività istruttoria finalizzata all’accertamento dei fatti.

Con nota del 16 marzo 2022 (prot. 15589/22) il Garante ha notificato alla Società l’atto di avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento UE 2016/679 e la notifica delle presunte violazioni ai sensi dell’art. 166, co. 5 del Decreto legislativo 30 giugno 2003, n. 196 (c.d. “Codice della privacy”).

Nello specifico, le violazioni riguardano le seguenti fattispecie:

1. a) il trattamento di dati personaliper finalità di marketing, registrazione e condivisione con terzi degli audio, profilazione e condivisione delle informazioni sugli account carente di idonea base giuridica a legittimazione degli stessi;
2. b) per aver omesso di fornire agli utenti informativa sul trattamento dei dati personali, realizzatosi fino alla data del 4 agosto 2021;
3. c) per avere omesso di fornire informazioni agli utenti sul trattamento delle numerazioni telefoniche che sono presenti nella lista contatti degli utenti che hanno acconsentito alla loro condivisione con Clubhouse;
4. d) per aver reso, successivamente al giorno 4 agosto 2021, informativa sul trattamento carente dei requisiti di chiarezza, trasparenza e) comprensibilità normativamente previsti;
5. e) per aver fornito informazioni inidonee relative ai tempi di conservazione dei dati personali;
6. f) per non aver designato né indicato i recapiti del l’identità e i dati di contatto del titolare del trattamento o di un suo rappresentante di cui all’art. 13, par. 1, lett. a);
7. g) le misure di sicurezza adottate, tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio per i diritti e le libertà delle persone fisiche, non sono apparse adeguate a garantire un livello di sicurezza adeguato al rischio prospettato;
8. h) considerato il rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento è tenuto ad effettuare, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.
9. i) le misure di sicurezza adottate, tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio per i diritti e le libertà delle persone fisiche, non sono apparse adeguate a garantire un livello di sicurezza adeguato al rischio prospettato.

Considerate le violazioni accertate, l’Autorità ha imposto misure correttive a carico della Società e adottato ordinanza di ingiunzione il cui valore pecuniario della sanzione amministrativa – calcolato ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, considerati gli elementi fattuali – ammonta a 20 milioni di euro.

Angela D’ambra