Qualche giorno fa il Garante per la protezione dei dati personali irlandese ha ufficializzato l'apertura di una indagine nei confronti di Instagram, in dettaglio per accertare eventuale violazione dei dati personali di utenti minorenni. In verifica se il trattamento dei dati personali dei minorenni abbia o meno rispettato le previsioni del GDRP e del Data Protection Act 2018 inglese. La piattaforma prevede una forma di verifica dell'età dell'utente al momento dell'iscrizione, richiedendo un'età di almeno 13 anni ma il Garante irlandese ha fatto sapere di aver ricevuto molti reclami che hanno sollevato preoccupazioni che lo hanno spinto ad avviare approfondite verifiche.

La vicenda comunque non trova origine solo dai reclami dei genitori di alcuni utenti, ma inizia nel 2019, quando un esperto statunitense di data analysis, David Stier, ha reso pubblica una attenta indagine su circa 200.000 utenti Instagram, scoprendo una criticità nella modalità account aziendale: attivandola infatti, numeri personali e indirizzi email vengono automaticamente resi pubblici senza che l'utente possa impedirlo. Oltre a ciò, per il passaggio di account semplice ad account aziendale, la piattaforma non richiede di dimostrare di essere una impresa. E' così che sono emerse centinaia di migliaia di profili appartenenti a minorenni e trasformati in account aziendali per poter avere accesso alle statistiche sui propri post, con conseguenti pubblicazione di dati di contatto e personali. L'indagine di Stier sollevava poi un'altra criticità: le informazioni personali dell'utente comparivano anche nel codice sorgente HTML delle pagine di Instagram.

Facebook, proprietaria di Instagram, è corsa subito ai ripari dopo la pubblicazione dell'indagine di Stier, intervenendo direttamente sul codice. Si è però difesa riguardo gli account aziendali, spiegando che “Siamo sempre stati chiari sul fatto che quando le persone scelgono di creare un account aziendale su Instagram, le informazioni di contatto che hanno condiviso vengono visualizzate pubblicamente. È molto diverso dall’esporre le informazioni delle persone”.

Sarà l'indagine del Garante irlandese a mettere la parola fine in questa diatriba, intanto Facebook rischia l'ennesima salatissima multa per (ad ora supposta) cattiva gestione dei dati personali: considerando che poi le sanzioni, così come previste dal GDPR, sono valutate in base anche alla gravità della violazione, è da aspettarsi che, in caso di condanna, la sanzione sia molto elevata dato che si parla di dati personali di minori, quindi dati ritenuti estremamente sensibili e protetti con particolare attenzione dal GDPR.

Due questioni saranno approfondite nello specifico dall'inchiesta del Garante irlandese: per primo verrà verificato se il proprietario della piattaforma (cioè Facebook) soddisfi appieno i suoi obblighi di titolare del trattamento dei dati dal punto di vista della trasparenza nella fornitura del servizio ai minori. In secondo luogo saranno verificate le impostazioni dei profili Instgram riservate agli account per i minori.