Limitazione della conservazione dei dati: multa salata per Discord

Al momento stai visualizzando Limitazione della conservazione dei dati: multa salata per Discord
Limitazione della conservazione dei dati: il Garante francese sanziona la piattaforma Discord per violazione del GDPR.

Limitazione della conservazione dei dati: il Garante francese sanziona la piattaforma Discord per violazione del GDPR

.

L’indagine del Garante francese su Discord

Discord è una software house statunitense. Il suo prodotto di punta si chiama Discord, per l’appunto, e in gergo tecnico è definito “Piattaforma voice over IP “. Consente agli utenti di chattare online tramite microfono o webcam mentre il computer è in uso. E’ una piattaforma molto utilizzata soprattutto dai gamers, ma non solo. Per rendere conto delle “dimensioni” ecco qualche numero: Discord fa interagire oltre 300 milioni di utenti attivi da tutto il mondo. Mediamente, al giorno, ospita oltre 4 miliardi di minuti di conversazioni ed è attraversata da un flusso di 850 milioni di messaggi. Inutile sottolineare quanti dati personali transitino da questa applicazione.

L’indagine della CNIL ha riguardato sia il sito web della piattaforma che l’app mobile, ma nel 2020 l’autorità ha optato perfino per una ispezione documentale inviando un lungo e dettagliato questionario alla società. Così in circa due anni di indagini, sono emerse molteplici violazioni del GDPR.

Discord e GDPR: le violazioni accertati dalla CNIL

Andiamo al sodo: come riportato dalla CNIL stessa nel proprio comunicato ufficiale, le indagini hanno portato alla luce la violazione di molteplici principi del GDPR. Tra questi:

  • mancato ottemperamento dell’obbligo di informazione verso gli interessati. Ne consegue la violazione dell’obbligo di trasparenza verso gli interessati;
  • violazione del principio di protezione dei dati “by default”;
  • assenza di qualsiasi valutazione d’impatto sulla protezione dei dati (DPIA);
  • nessuna definizione del periodo di conservazione dei dati secondo le finalità dei trattamento in atto.

Per approfondire > Garante francese: guida al GDPR per sviluppo software

Art. 5 del GDPR: limitazione della conservazione dei dati

Tra le tante violazioni del GDPR una in particolare ha pesato nella valutazione dell’ammontare della sanzione inflitta a Discord. Cioè la violazione dell’art 5 del GDPR che prevede che i dati personali siano conservabili solo

“per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

Questa limitazione ha lo scopo di evitare la conservazione e il trattamento dei dati in tempi sproporzionati e non necessari al raggiungimento della finalità del trattamento dei dati stessi. Oltre alla tutela del diritto alla privacy, la limitazione della conservazione dei dati ha valore, anche, di misura di protezione dei dati stessi (riduzione del rischio).

Al contrario Discord ha conservato i dati di account inattivi anche da oltre 5 anni (Discord ha sei anni “di vita”) e dall’indagine della CNIL è emerso come non fosse stato previso neppure una procedura di scarto dei dati. Lo stesso registro dei trattamenti non riportava alcun limite di conservazione dei dati. Non a caso, il Garante francese ha individuato nei database di Discord i dati di 2.474.000 account di utenti francesi che non usano più il proprio account da oltre 3 anni, mentre altri 58.000 non usano l’account da oltre cinque anni. Nessuno di questi utenti ha ricevuto spiegazioni o giustificazioni sulle motivazioni e finalità della conservazione di tali dati.

Discord e GDPR: violazione dell’obbligo di trasparenza

La mancata politica di conservazione ha comportato non solo che Discord abbia potuto costruire database con dati illeciti, ma ha comportato anche la violazione dell’obbligo di trasparenza verso gli interessati. Gli artt. 1 3 e 14 del GDPR prevedono infatti che il responsabile del trattamento dei dati debba anche indicare esplicitamente

“il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo”.

Le scarse e generiche informazioni sul punto trovate nelle informative di Discord non sono state valutate come sufficienti affinchè gli interessati potessero farsi una chiara idea della durata massima della conservazione dei dati. In questo caso c’è quindi anche violazione dell’obbligo di trasparenza verso gli interessati.

Discord e il principio di Privacy by Default

Tra gli altri profili illeciti riscontrati dalla CNIL c’è la violazione del principio di Privacy by default. L’art 25 del GDPR esplicita che

“Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento”.

Invece il Garante francese ha riscontrato come l’app fosse pre impostata per rimanere attiva anche quando l’utente chiude la finestra principale. Non solo: l’utente deve eseguire diverse azioni prima di riuscire ad uscire dall’app Discord, mentre resta richiamabile solo tramite un piccolo indicatore. Ora questa è una caratteristica tecnica essenziale per un’app come Discord che promette, appunto, di poter utilizzare il computer mentre si conversa con altri utenti. Ciò non toglie che questa impostazione sia in contrasto con l’art. 25 del GDPR. Sul punto Discord ha individuato una soluzione tecnica, prevedendo uno speciale pop up per avvisare gli utenti connessi ai canali vocali che l’app è in esecuzione. Non solo, gli utenti potranno personalizzare le opzioni di chiusura.

La valutazione di impatto sui dati

Ultima violazione “di peso” contestata a Discord riguarda l’art 35 del GDPR che prevede che

“quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.

Il considerando 91 del GDPR specifica inoltre che la valutazione di impatto deve applicarsi, in particolare, per i trattamenti di larga scala.

Nel caso di Discord, il trattamento dei dati

  • è un trattamento dati su larga scala;
  • tratta dati sensibili (relativi ad esempio a minorenni).

Per questo Discord ha fornito al Garante, in corso di emanazione del provvedimento sanzionatorio, due diverse DPIA.

Per saperne di più > Replika: il Garante blocca la chatbot per tutela dei minori

La sanzione del garante francese

Discord ha trovato una soluzione e ha corretto la gran parte delle violazioni individuate, modificando le informative, introducendo un periodo di conservazione massima dei dati ecc… Il Garante francese ne ha tenuto conto, secondo le indicazioni fornite dall’EDPB su come stabilire l’ammontare di una sanzione. Il meccanismo infatti prevede che si, la sanzione debba essere tale da risultare davvero inibitoria rispetto alla prosecuzione delle condotte illecite, ma deve anche tenere di conto della collaborazione e delle misure di conformità implementate.

La sommatoria degli obblighi violati, il livello di cooperazione e le soluzioni implementate hanno portato l’Autorità francese a ritenere congrua la sanzione di 800.000 euro.

Qui è disponibile il provvedimento completo