Sembrerebbe, però, che Twitter abbia tentato di evitare uno degli oneri più stringenti e puntuali previsti dalla normativa in materia: la notifica di un data breach.
Nel presente articolo andremo quindi a focalizzarci sulle disposizioni in materia e sulle conseguenze a cui Twitter è andata incontro, concretizzatesi in una sanzione pari a 450.000 euro, irrogata dalla Data Protection Commission irlandese, partendo dalla definizione di data breach, che consiste in “una violazione di sicurezza – accidentale o illecita- che causa la modifica, la divulgazione o l’accesso non autorizzato ai dati personali conservati o trattati.
Il caso Twitter
“L’indagine della DPC è iniziata nel gennaio 2019 in seguito alla segnalazione di una violazione ricevuta da Twitter. DPC ha scoperto che Twitter ha infranto gli articoli 33(1) e 33(5) del GDPR in termini di mancata conformità della notifica in tempo utile dell’incidente e della mancata documentazione adeguata. DPC ha imposto una sanzione amministrativa di 450.000 euro a Twitter come misura effettiva, proporzionata e dissuasiva.”
Questa è una parte del comunicato della Data Protection Commision irlandese (DPC, appunto). L’Autorità irlandese era competente in qualità di “Autorità capofila”, ai sensi dell’art. 56 del GDPR, in base all’ubicazione della sede legale della società, poiché la base europea della statunitense Twitter Inc. si trova appunto in Irlanda. Il DPC, al quale spetta poi infliggere la sanzione, ha dunque avviato e svolto un’indagine nei confronti di Twitter, constatando la violazione, da parte del social network, degli obblighi previsti dal GDPR in materia di data breach o violazione dei dati personali.
Il breach preso in considerazione è stato causato da un bug che ha interessato la funzionalità “Proteggi i tuoi tweet”, rendendo così pubblici, a insaputa degli utenti, i dati personali degli stessi. Le stime di Twitter contano circa 88.726 utenti coinvolti nella violazione, nell’arco di un lasso temporale che va dal 5 settembre 2017 all’11 gennaio 2019. La scoperta, da parte del social network, avviene, però, soltanto il 26 dicembre 2018.
Il coinvolgimento delle altre Autorità Garanti Europee
Nel gennaio 2019, il DPC irlandese ha fornito il proprio progetto di decisione alle altre Autorità europee coinvolte, in quanto la violazione avrebbe riguardato utenti collocati in diversi stati europei.
Hanno così fatto seguito le obiezioni delle Autorità Garanti di Italia, Germania e Austria, le quali hanno costatato come il range entro il quale intendeva collocare l’ammontare della sanzione l’autorità irlandese – tra i 135.000€ e i 275.000€ – fosse non conforme alla reale gravità della violazione intercorsa, considerando anche il ritardo nella notifica del data breach da parte di Twitter e della non adeguata documentazione raccolta a riguardo. Infatti, queste Autorità hanno ritenuto che la stima dell’ammenda effettuata dal DPC non tenesse debitamente in considerazione alcune criticità che avrebbero reso il comportamento del social network meritevole di una sanzione maggiore, per renderla effettivamente adeguata, proporzionale e dissuasiva, come richiesto dalla normativa vigente.
Il Comitato Europeo per la protezione dei dati
Da queste obiezioni, si è innescata una procedura mai avvenuta dall’entrata in vigore del regolamento 679/2016: è stata infatti avviata la procedura di risoluzione della controversia ai sensi articolo 65 del GDPR, che ha coinvolto l’EDPB (European Data Protection Board) sul punto. L’articolo menzionato, infatti, prevede che il Comitato Europeo per la protezione dei dati, organismo incaricato di garantire la coerente applicazione del regolamento generale sulla Protezione dei Dati, adotti una decisione vincolante “se, in un caso di cui all’articolo 60, paragrafo 4, un’autorità di controllo interessata ha sollevato un’obiezione pertinente e motivata a un progetto di decisione dell’autorità di controllo capofila e l’autorità capofila di controllo non abbia dato seguito all’obiezione o abbia rigettato tale obiezione in quanto non pertinente o non motivata. La decisione vincolante riguarda tutte le questioni oggetto dell’obiezione pertinente e motivata, in particolare se sussista una violazione del presente regolamento”.
In questo caso l’autorità di controllo capofila è quella irlandese, essendo collocata in Irlanda la sede europea di Twitter, ragione per cui spetta poi a quest’ultima infliggere la sanzione opportunamente decisa.
Il 9 novembre 2020 è quindi arrivata la decisione del Comitato Europeo per la protezione dei dati.
Il Comitato, le cui decisioni sono immediatamente vincolanti per le Autorità europee, ha riscontrato la necessità di rivedere l’ammenda originariamente proposta dal DPC irlandese, sostenendo quindi la tesi dei Garanti italiano, tedesco e austriaco, proprio per la conclamata violazione da parte del noto social network dell’articolo 33, paragrafi 1 e 5 del GDPR (relativo appunto alla mancata notifica del data breach subito da Twitter).
La normativa
“In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo […] Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo”.
Così recitano i paragrafi 1 e 5 dell’articolo 33 del GDPR, nei quali si ritrovano le regole da seguire quando viene accertata una violazione dei dati personali da parte del titolare del trattamento, in questo caso Twitter, e quando sono stati violati i diritti e le libertà delle persone fisiche, come nel caso di specie.
Oltre a non essere stato rispettato il termine entro cui notificare il data breach all’autorità di controllo competente, quindi, Twitter ha violato anche la disposizione che obbliga il titolare del trattamento a documentare minuziosamente tutte le circostanze che riguardano la violazione dei dati. Da queste carenze da parte di Twitter scatta il potere sanzionatorio in capo alle autorità di controllo competenti, le quali possono infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 del GDPR, in funzione delle circostanze di ogni singolo caso
Conclusioni
Il social network ha replicato asserendo che “Twitter ha lavorato a stretto contatto con l’Irish Data Protection Commission per supportare l’indagine. Abbiamo un impegno condiviso a proposito di sicurezza e privacy online, rispettiamo la decisione che fa riferimento alla non conformità del nostro processo di risposta all’incidente. Una conseguenza imprevista legata al personale al lavoro tra il giorno di Natale 2018 e il Capodanno ha fatto sì che la notifica fosse inviata dopo le 72 ore. Abbiamo introdotto cambiamenti così che altri incidenti possano essere segnalati nei tempi stabiliti”.
Ciononostante, la sanzione nei confronti di Twitter da parte del DPC è arrivata il 15 dicembre, in misura assai incisiva rispetto quella inizialmente proposta: 450.000,00 €.
Sicuramente vicende come questa portano alla luce tutte le insidie che caratterizzano l’era del digitale, in cui sempre più dati personali vengono utilizzati, condivisi e spesso violati. Questo, come altri casi similari, hanno avuto un epilogo – non felice per Twitter- consistente nell’inflizione di una pesante sanzione, che dovrà servire da monito e deterrente per prossimi comportamenti non conformi alla normativa in vigore. È sempre più chiaro che un comportamento ossequioso nei confronti della normativa in tema di privacy rappresenti una sicurezza, per le aziende, i social network e tutti i possibili titolari del trattamento, nello scongiurare possibili conseguenze negative a proprio carico, ma anche – e soprattutto – una tutela adeguata a tutti gli utenti interessati.