LinkedIn ha subito una pesante sanzione di 310 milioni di euro da parte della Commissione irlandese per la protezione dei dati (DPC) per aver trattato i dati degli utenti per analisi comportamentali e pubblicità mirata senza aver ottenuto un consenso valido, libero, informato, specifico e univoco. Questa decisione segna un momento cruciale nella protezione dei dati personali in Europa, mettendo in luce l’importanza del rispetto delle normative sulla privacy.

La violazione e le conseguenze

L’indagine condotta dalla DPC è stata avviata dopo una denuncia dell’organizzazione no-profit francese La Quadrature Du Net. La DPC ha esercitato i suoi poteri correttivi, ammonendo LinkedIn e imponendo l’ingiunzione di conformarsi al GDPR. La DPC ha chiarito che la legalità del trattamento dei dati personali è fondamentale e che il trattamento senza una base legale appropriata rappresenta una grave violazione dei diritti degli utenti.

Graham Doyle, Vice Commissario della DPC, ha sottolineato che la mancanza di una base giuridica valida per il trattamento dei dati personali non solo compromette la privacy degli utenti, ma mina anche il diritto fondamentale alla protezione dei dati.

Analisi del trattamento dei dati

I dati coinvolti nella violazione includevano informazioni fornite direttamente dagli utenti a LinkedIn e dati ottenuti tramite partner di terze parti. La DPC ha evidenziato che il consenso degli utenti è l’unica base giuridica valida per il trattamento di dati a scopi di pubblicità mirata, escludendo il legittimo interesse come motivazione.

LinkedIn ha giudicato non valide le informative fornite agli utenti, in conformità agli articoli 13 e 14 del GDPR, evidenziando ulteriormente le carenze nella trasparenza e nell’informazione nei confronti degli interessati.

La posizione dell’EDPB

L’Autorità europea per la protezione dei dati (EDPB) ha supportato la decisione della DPC, richiamando le sue recenti linee guida. Queste linee indicano chiaramente che, nonostante la gratuità del servizio, gli utenti non possono aspettarsi che i propri dati siano trattati per pubblicità personalizzata senza un esplicito consenso.

Inoltre, l’EDPB ha sottolineato che la pubblicità personalizzata può essere considerata una forma di marketing diretto e che il trattamento dei dati per tali scopi non può basarsi esclusivamente sul legittimo interesse, a meno che non siano soddisfatte specifiche condizioni.

Questa decisione rappresenta un precedente significativo nel panorama della protezione dei dati in Europa, evidenziando l’importanza del consenso e della trasparenza. Le autorità di protezione dei dati, come la DPC, dimostrano una ferma determinazione nel garantire che le aziende rispettino i diritti degli utenti, specialmente in un contesto globale come quello di LinkedIn.

In un’epoca in cui la raccolta e l’analisi dei dati personali sono in continua espansione, la conformità alle normative sulla protezione dei dati diventa cruciale. Questa situazione sottolinea la necessità di un equilibrio tra l’uso dei dati per finalità commerciali e il trattamento equo e trasparente delle informazioni personali, in modo da proteggere i diritti e la privacy degli utenti.