Meta dovrà pagare una multa di 265 milioni di euro per la violazione degli articoli 25(1) e 25(2) del GDPR in materia di protezione dei dati degli utenti. L'indagine che ha portato alla decisione finale è stata effettuata dalla Data Protection Commission irlandese: contestualmente alla sanzione amministrativa, la società di Mark Zuckerberg è tenuta ad apportare nei tempi stabiliti le opportune modifiche alla piattaforma riguardo il trattamento dei dati degli utenti.

Il fatto risale ad aprile dello scorso anno, quando sono stati pubblicati nel dark web 533 milioni di dati tra numeri di telefono, nomi, indirizzi mail e bio in uno dei data breach più grandi di sempre. L'Italia era stata colpita in modo particolare con 37 milioni di dati rubati. I responsabili del furto avrebbero approfittato di una falla di sicurezza che Facebook ha chiuso nel 2019 ma non prima che gli hacker ne approfittassero per sottrarre le informazioni personali di milioni di utenti.

Con l'indagine sono stati esaminati gli strumenti Facebook Search, Facebook Messenger Contact Importer e Instagram Contact Importer e sono state rilevate non conformità ai punti 1 e 2 dell'articolo 25 del GDPR:

25(1): "[...] il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

25(2): "Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati [...] solo i dati personali necessari per ogni specifica finalità del trattamento. [...] dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.

Si tratta della seconda maxi multa inferta a Meta in meno di tre mesi: a settembre infatti la DPC irlandese aveva comminato una sanzione di 405 milioni di euro per il trattamento scorretto dei dati dei minori su Instagram.