CONTATTACI

LinkedIn: maxi sanzione per violazione dei dati personali

La Commissione Irlandese per la Protezione dei Dati ha recentemente comminato una sanzione di 310 milioni di euro a LinkedIn Ireland Unlimited. Tale multa è stata imposta a causa di violazioni relative all’uso non corretto dei dati personali degli utenti a fini di pubblicità mirata.

 

Dalle indagini alla sanzione della Commissione Irlandese

Secondo le informazioni rese pubbliche dalla DPC, la decisione di infliggere una multa di 310 milioni di euro a LinkedIn è il risultato di un’indagine avviata già nel 2018.

In quell’anno, diverse preoccupazioni sono emerse riguardo alle modalità con cui LinkedIn trattava i dati personali, e queste hanno spinto la DPC ad esaminare maggiormente le pratiche della piattaforma. In particolare, è emerso che LinkedIn ha violato l’articolo 6 del GDPR, che richiede una base legale per il trattamento dei dati.

A seguito dell’illecito rilevato, la sanzione a LinkedIn è stata imposta dalla Commissione Irlandese per la Protezione dei Dati.

 

La multa della Commissione Irlandese: le conseguenze

Oltre alla sanzione, la DPC ha imposto a LinkedIn l’obbligo di adeguare le sue pratiche di raccolta e gestione dei dati personali, assicurando che rispondano ai requisiti di trasparenza e legalità stabiliti dal GDPR.

La decisione comprende anche un ammonimento formale per LinkedIn, che evidenzia l’importanza di rispettare le basi giuridiche nel trattamento dei dati degli utenti, sottolineando l’obbligo di salvaguardare la privacy.

A seguito della decisione, LinkedIn ha dichiarato la propria volontà di adeguare le pratiche pubblicitarie secondo quanto stabilito dalla DPC, pur sottolineando la convinzione di aver agito in conformità con le normative GDPR.

 

Violazioni riscontrate: art. 6 del GDPR

Nel caso di LinkedIn, la DPC ha riscontrato violazioni specifiche di diverse basi legali indicate nell’articolo 6, in particolare:

  • Mancanza di consenso valido: LinkedIn non ha raccolto un consenso informato, esplicito e inequivocabile dagli utenti. La DPC ha constatato che il consenso ottenuto non era sufficientemente trasparente o chiaro, quindi non rispettava i requisiti di validità imposti dal GDPR;

 

  • Interessi legittimi non giustificati: LinkedIn ha tentato di basare il trattamento dei dati per fini pubblicitari sugli “interessi legittimi” della piattaforma. Tuttavia, la DPC ha determinato che i diritti fondamentali degli utenti alla protezione della privacy superano tali interessi, rendendo quindi il trattamento dei dati non giustificato.

 

 

Ulteriori violazioni: art. 13 e 14

Oltre all’articolo 6, sono state riscontrate violazioni riguardanti gli articoli 13 e 14 del GDPR riguardanti principalmente la mancanza di trasparenza e chiarezza nella comunicazione agli utenti sulle modalità di trattamento dei loro dati personali.

 

Secondo l’articolo 13, al momento della raccolta dei dati personali direttamente dall’interessato, il titolare del trattamento è obbligato a fornire una serie di informazioni chiare e dettagliate, come:

  • Identità e dati di contatto del titolare del trattamento;
  • Finalità del trattamento e la relativa base giuridica;
  • Diritti dell’interessato, compreso il diritto di revocare il consenso e il diritto di presentare un reclamo all’autorità di controllo.

Nel caso di LinkedIn, la DPC ha riscontrato che le informazioni fornite agli utenti non rispettavano queste indicazioni. In particolare, non era chiaro per gli utenti come e perché i loro dati fossero utilizzati per la pubblicità mirata e l’analisi comportamentale.

 

Per quanto riguarda l’articolo 14, quando i dati personali sono raccolti indirettamente (cioè non direttamente dall’interessato, ma da altre fonti), il titolare del trattamento deve informare gli interessati entro un tempo ragionevole, spiegando:

  • La fonte dei dati personali;
  • Le finalità e la base giuridica per il trattamento;
  • I diritti dell’interessato, comprese eventuali possibilità di opposizione o revoca del consenso.

Anche in questo caso, LinkedIn ha violato l’obbligo di informare gli utenti in modo chiaro e completo. Non è stato reso noto agli utenti se i loro dati fossero stati acquisiti da fonti esterne o attraverso terze parti, tantomeno era chiaro quali basi legali giustificassero tali raccolte indirette.

Condividi

PrecedentePrecedenteGarante: stop al software che accede all’email del dipendente.
SuccessivoEurojust: operazione internazionale contro gli infostealerSuccessivo

I nostri clienti

Compet-e srl

A TESISQUARE® Ecosystem Company

Facebook Linkedin

CF – PIVA: 02760970042

Tel: 0172 38 27 63 – Fax: 0172 18 32 072

info@compet-e.it – compet-e@pec.it

Codice fatturazione: USAL8PV

SEDE DI BRA 

Via Don Luigi Orione, 202/G
12042 – BRA Fraz. Bandito (CN)

SEDE DI ROMA

Via Cristoforo Colombo, 149
00147 – ROMA (RM)

Resta sempre aggiornato!

Iscriviti alla nostra newsletter per essere sempre aggiornato sulle novità e le ultime notizie in ambito di compliance, privacy e sicurezza.

Ti invieremo solo notizie interessanti e pertinenti, nessuno spam!

Centro privacy e compliance.

Informative
Privacy Policy & Cookie
Informativa clienti
Informativa fornitori
DPA – Data processing Agreement
Politiche

Politica per la protezione dei dati personali
Politica sistema di gestione integrato

Diritti degli interessati
Esercizio dei diritti degli interessati
Matomo
Ci trovi sul Marketplace ACN
Catalogo dei servizi Cloud qualificati per la PA

ACN Cloud Marketplace

Prassi di Riferimento
UNI/PdR 43:2018

logo-dasa-raegister

ISO/IEC 27001:2022
IIS-0223-01

UNI EN ISO 9001:2015
IQ-0423-02

© 2023 COMPET-E SRLinfo@compet-e.itCompet-e Srl – Via Don Luigi Orione 202/G, 12042 Bra fraz. Bandito (CN) – PIVA/CF 02760970042