Scraping online: il Garante irlandese ha sanzionato Meta per 265 milioni di euro per non aver protetto gli utenti Facebook.

La violazione dei dati del 2021

Questa vicenda origina nell'Aprile 2021, quando su un forum di hacking vengono pubblicati i dati appartenenti a oltre 533 milioni di utenti Facebook. Il set comprendeva informazioni come dati personali come:

• numeri di telefono;
• ID Facebook;
• nome e cognome;
• genere;
• stato delle relazioni;
• occupazione;
• data di nascita;
• indirizzo email ecc…

Tutti dati molto utili, sfruttabili da un attaccante per attacchi mirati e truffe. Facebook, al tempo, fece sapere che gli attaccanti avevano sfruttato un bug del tool di importazione dei contatti per associare i numeri di telefono a un ID Facebook, per poi fare scraping sul resto delle informazioni per ricreare il profilo dell'utente.

Per approfondire > La settimana nera dei data leak: in vendita nel dark web i dati di 500 milioni di utenti Facebook e 500 milioni di utenti Linkedin

Scraping online: è legale?

Diventa forse utile una breve panoramica sullo scraping online. Per web scraping si intende l'uso di bot per estrarre dati da un sito web: questi bot emulano il comportamento di un utente umano, possono perfino eseguire login e logout e raccolgono specifiche informazioni e dati di valore, collezionandoli e ordinandoli per il loro gestore. Si possono così raccogliere, senza violare alcuna infrastruttura informatica, dati come indirizzi email, numeri di telefono, comportamenti di acquisto, coordinate ecc..

Di per sé non è necessariamente, questa, una attività illegale: certo lo è nel momento in cui viola la privacy degli utenti e la proprietà intellettuale / i diritti di determinati contenuti. Non a caso il web scraping sta diventando un problema serio per i social. In seguito alle notizie sul breach subito da Linkedin ad Aprile, ad esempio, il Garante italiano si è attivato sul tema per ricondurre l'attività dello scraping agli ambiti della legalità e perseguire invece gli utilizzi illeciti. Nel provvedimento conseguente, il Garante specificava l'inutilizzabilità dei dati raccolti tramite web scraping in questo caso, poichè i dati erano stati raccolti senza il consenso degli utenti: insomma i dataset di dati riguardanti gli utenti Linkedin non potevano essere utilizzati perchè derivanti da illecito trattamento. Di conseguenza, è possibile adottare provvedimenti sanzionatori verso coloro che utilizzano dati raccolti tramite scraping in mancanza della condizione di liceità del trattamento.

Scraping online: il Garante irlandese sanziona Facebook

Torniamo quindi alla vicenda in oggetto: per quanto Facebook abbia risolto il bug nel 2019, il Garante irlandese ha comunque optato per sanzionare Meta. L'istruttoria avviata ha infatti permesso di ricostruire le violazioni, da parte di Meta, dell'art. 25.1 e dell'art. 25.2.

• Art. 25.1:
  "Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati";
• Art. 25.2:
  "Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica." 

In breve, Meta non ha protetto a sufficienza i dati degli utenti Facebook.

"C'è stato un processo di indagine completo, compresa la cooperazione con tutte le altre autorità di controllo della protezione dei dati all'interno dell'UE"

ha dichiarato il Garante irlandese. Facendo sapere, inoltre, che anche altre autorità hanno concordato con la decisione.