La Commissione per la protezione dei dati irlandese (Data Protection Commission) ha imposto una sanzione di 17 milioni di euro alla società Meta Platforms Ireland Limited (ex Facebook Ireland Limited).
La decisione ha fatto seguito a un’indagine dell’autorità per la protezione dei dati su una serie di dodici notifiche di data breach ricevute nel periodo di sei mesi compreso tra il 7 giugno 2018 e il 4 dicembre 2018.
L’indagine ha preso in esame la misura in cui Meta Platforms ha rispettato i requisiti del Gdpr in relazione al trattamento dei dati personali rilevanti per le notifiche effettuate.
A seguito della propria indagine, la Data Protection Commission ha riscontrato che Meta Platforms ha violato gli articoli 5(2), 24(1), e 32(1) del Regolamento UE 2016/679, riscontrando che, nella pratica, Meta non disponeva di misure tecniche e organizzative adeguate che le consentissero di dimostrare prontamente le misure di sicurezza attuate per proteggere i dati degli utenti dell’UE, nel contesto delle dodici violazioni dei dati personali.
Poiché il trattamento in esame ha costituito un trattamento “transfrontaliero”, la decisione dell’autorità per la protezione dei dati irlandese è stata oggetto del processo di codecisione di cui all’articolo 60 del Gdpr, e tutte le altre autorità di controllo europee sono state coinvolte. Sebbene due delle autorità di vigilanza europee abbiano sollevato obiezioni al progetto di decisione della Data Protection Commission, è stato infine raggiunto l’accordo per la sanzione.