Dopo lo scandalo Cambridge Analytica, Facebook potrebbe essere destinataria di una multa stratosferica. Guai in vista per l’azienda di Mark Zuckerberg che, a distanza di tre mesi dalla violazione di 50 milioni di accounts, potrebbe essere costretta a sborsare parecchi quattrini. Molto dipenderà da quanto peseranno sulla condotta del social le inefficaci misure di sicurezza dei trattamenti e il lasso temporale intercorso tra il breach e la notifica agli utenti, oltre il limite delle 72 ore.
50 milioni di accounts violati
Soltanto tre mesi fa Facebook comunicava ufficialmente di aver scoperto la violazione di 50 milioni di accounts e delle correlate informazioni personali, perpetrata da alcuni hackers attraverso lo sfruttamento di una falla nella sicurezza, che poi veniva circoscritta nel codice di programmazione della funzione “Visualizza come” in relazione alla visibilità del proprio profilo da parte degli altri utenti. Facebook inoltre, rendeva noto di essere intervenuta, risolvendola, sulla vulnerabilità che ha di fatto consentito agli attaccanti, per ben dodici giorni, di ottenere le chiavi di accesso al servizio, segnalando l’accaduto alle autorità. Il social network, infine, rassicurava “di aver preso il problema estremamente sul serio”. Eppure, milioni gli utenti hanno subito la violazione dei propri accounts a causa della falla nella sicurezza che ha, in concreto, determinato le condizioni per la “sterilizzazione” delle protezioni di riservatezza delle immagini degli utenti.
Multa stratosferica all’azienda di Mark Zuckerberg
Ne è scaturito un rilevante data breach che dopo lo scandalo Cambridge Analytica, dunque, potrebbe vedere l’azienda di Mark Zuckerberg destinataria di una multa stratosferica. D’altro canto, infliggere una pesante sanzione, anche esemplare, non può certamente spostare l’attenzione sul vero fulcro del problema: la sicurezza e le misure messe in campo per la protezione dei trattamenti, esattamente come previsto dall’art. 32 del Regolamento (UE) 2016/679 (GDPR). Infatti, nel caso di specie, occorrerà accertare in concreto la messa in campo di misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, attraverso una procedura per testarne, verificarne e valutarne regolarmente l’efficacia per la sicurezza dei trattamenti. Peraltro, trattandosi di un breach particolarmente significativo, il livello di adeguatezza delle misure di sicurezza andrà accertato tenendo conto, in special modo, dei rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
A questo si aggiunge un altro importante elemento, “under investigation”, che certamente peserà nella valutazione della posizione del social network, ossia l’osservanza del limite delle 72 ore per informare le autorità, come previsto dall’art. 33 del Regolamento.