La vicenda di #LinkedIn, colosso dei social professionali di proprietà di #Microsoft, si inserisce in un panorama europeo sempre più rigoroso riguardo alla protezione dei #datipersonali. Con una sanzione di 310 milioni di euro, il gigante tecnologico paga cara la mancata osservanza del Regolamento Generale sulla Protezione dei Dati (#GDPR), a seguito di un’indagine durata sei anni. La Decisione, emanata dall’autorità irlandese per la protezione dei dati (#DPC), mette in evidenza tre principali violazioni: il mancato ottenimento di un consenso valido, l’assenza di un legittimo interesse per l’utilizzo di alcuni dati, e la scarsa trasparenza verso gli utenti sul trattamento delle informazioni personali.
Il tutto ha avuto inizio nell’agosto 2018, quando un’organizzazione francese, La Quadrature Du Net, ha presentato una denuncia alla commissione per la privacy francese. Da qui, il caso è stato passato ai commissari irlandesi Des Hogan e Dale Sunderland, che hanno approfondito le pratiche di LinkedIn relative all’analisi comportamentale e alla pubblicità mirata, identificando gravi irregolarità. La piattaforma, infatti, analizzava i dati dei propri utenti per mostrar loro pubblicità su misura, senza che il consenso fosse “liberamente dato, specifico, informato e inequivocabile” come richiesto dal GDPR.
È interessante notare come Microsoft fosse in qualche modo preparata alla multa: già nel giugno 2023, una versione preliminare della decisione era stata resa nota, e l’azienda aveva accantonato 425 milioni di dollari, una cifra addirittura superiore alla sanzione finale. Nei documenti contabili di LinkedIn Ireland Unlimited Company, infatti, Microsoft aveva predisposto un’indennità per coprire qualsiasi multa comminata dalla DPC. Tuttavia, benché LinkedIn abbia fatto sapere che sta lavorando per conformarsi alle richieste della decisione, non è chiaro se presenterà ricorso.
L’intera inchiesta si è conclusa nel luglio 2024, con il coinvolgimento delle autorità europee tramite il “meccanismo di cooperazione” previsto dall’articolo 60 del GDPR. Attraverso questo sistema, le autorità degli altri paesi UE hanno avuto l’opportunità di esprimere il proprio parere, ma nessuna ha contestato la linea irlandese. Come parte della decisione finale, la DPC ha emesso tre misure correttive che comprendono una multa, un richiamo formale e l’ordine di adeguare le pratiche aziendali al regolamento europeo.
Il caso LinkedIn rappresenta un segnale chiaro per le aziende globali che operano nel mercato europeo: le regole sulla protezione dei dati non sono negoziabili. La tutela del diritto fondamentale alla privacy impone trasparenza e responsabilità, e il GDPR ha tracciato una linea ben precisa per impedire che i dati personali degli utenti vengano utilizzati senza il loro esplicito consenso o senza adeguate basi legali.
