CNIL sanziona Discord per 800mila euro

Stefano Gazzella : 20 Novembre 2022 15:18

Autore: Stefano Gazzella

L’autorità di controllo francese ha sanzionato per 800mila euro la società statunitense che gestisce la celebre piattaforma Discord contestando la violazione di alcuni principi del GDPR, fra cui limitazione della conservazione, trasparenza, privacy by default, sicurezza e obbligo di svolgere una valutazione di impatto.

Per quanto riguarda la contestazione relativa all’obbligo di conservare i dati personali solo “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5.1 lett. e) GDPR), l’assenza di una procedura di scarto e conservazione è stata un’omissione significativa in seguito al riscontro in sede istruttoria di account inutilizzati da oltre 3 e 5 anni.

Inoltre, è stato oggetto di valutazione anche il fatto che lo stesso registro dei trattamenti non aveva rendicontato i tempi di conservazione (punto 31 della deliberazione). Da ciò è seguita l’adozione di una misura da parte della stessa società e l’applicazione di una politica di data retention di 2 anni dall’ultima attività e la cancellazione automatica dell’account.

La mancanza di una politica di conservazione non ha comportato solamente la formazione dei database rilevati come illeciti, ma ha fatto venire meno la trasparenza nella parte in cui viene previsto un obbligo specifico di indicare “il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;” (artt. 13.2 lett. a) e art. 14.2 lett. a) GDPR). In tal senso è stata valutata l’inadeguatezza di indicazioni generiche e non sufficientemente esplicite, da cui deriva l’impossibilità di conoscere la durata dei trattamenti da parte degli interessati.

Per quanto riguarda invece la contestazione più ampia e grave relativa alla disponibilità e chiarezza dell’informativa (art. 12 GDPR), gli iniziali rilievi riguardanti una privacy policy online resa solo in lingua inglese sono stati superati dall’evidenza di un problema tecnico che aveva temporaneamente impedito la visualizzazione della traduzione francese dell’informativa sulla privacy e dalla sua risoluzione tempestiva.

Per quanto riguarda il principio di privacy by default, è stata contestata l’impostazione predefinita dell’applicazione in quanto configurata per rimanere attiva anche in caso di chiusura della finestra principale per cui non sono valse le difese della società sul funzionamento in background rispondente al livello di aspettativa dell’interessato e la sua consapevolezza che per abbandonare il canale vocale sia necessario operare la disconnessione.

Da ciò è seguita l’adozione di una finestra pop-up per avvisare le persone connesse al canale vocale che l’app è in esecuzione e circa la possibilità di modifica dei parametri in caso di chiusura così da rendere in modo chiaro le informazioni circa la configurazione al fine di prevenire i rischi per gli interessati.

Con riguardo all’impiego dei dati “per migliorare Discord”, invece, è stata comprovata la liceità di tale impiego dalla capacità di rendicontazione del rispetto del principio di privacy by design e la possibilità di opposizione da parte dell’utente attraverso una richiesta specifica accanto alla generica previsione di un’opzione di configurazione senza necessità di giustificazione relativa alla particolare situazione dell’utente per la psuedonimizzazione dei dati.

La contestazione relativa alla sicurezza è stata svolta relativamente alla fase di creazione di un account e la selezione di password prive di un criterio di complessità adeguato e la mancanza di misure aggiuntive, da cui deriva un rischio di accesso da parte di terzi non autorizzati.

Nel corso del procedimento sono state adottate dalla società delle misure correttive con la previsione di un minimo di otto caratteri per le password di cui almeno tre minuscole, maiuscole, numeri o caratteri speciali e la risoluzione di un captcha dopo 10 tentativi di connessione falliti, ma i rilievi iniziali riguardanti l’inadeguatezza delle politiche di sicurezza rispetto a rischi e stato dell’arte sono rimasti insuperati.

Ultima ma non meno importante, la violazione dell’obbligo di svolgere una valutazione d’impatto sulla protezione dei dati (art. 35 GDRP), in quanto il rischio elevato dei trattamenti era riscontrabile secondo i criteri della larga scala e degli interessati vulnerabili, “in relazione al volume di dati trattati dalla società e all’utilizzo dei suoi servizi da parte dei minori”. Sul punto, di particolare rilievo è il passaggio per cui il riscontro di un rischio non elevato ex post rispetto allo svolgimento delle valutazioni – così come riscontrato dalla DPIA successivamente svolta – non può in alcun modo costituire un’esenzione da obblighi sussistenti ex ante.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.