Discord è un servizio di voice over IP (ossia una tecnologia che consente agli utenti di chattare tramite il proprio microfono e/o webcam su Internet) inteso altresì come una piattaforma di messaggistica istantanea che consente ai propri utenti di creare anche dei server o delle stanze private all’interno delle quali condividere contenuti testuali, audio e video. Alla luce di indagini rilevanti nelle ultime settimane, l’organo della CNIL (Commission Nationale de l’Informatique et des Libertés) preposto all’irrogazione delle sanzioni, ha ritenuto che la società non avesse adempiuto a diversi obblighi previsti dal Regolamento generale sulla protezione dei dati (GDPR), infliggendo una multa di 800.000 euro a Discord Inc., resa recentemente pubblica.

L’importo della sanzione è stato deciso in relazione alle violazioni individuate, al numero delle persone interessate, tenendo altresì conto degli sforzi profusi dalla società durante tutto l’iter per raggiungere la compliance. L’autorità francese per la privacy dei dati (DPA) ha annunciato che infliggerà a Discord, Inc. una multa di 800.000 euro ai sensi del Regolamento generale sulla protezione dei dati (GDPR).

Le presunte violazioni del GDPR includono la mancata definizione di una politica scritta di sicurezza delle informazioni e di un programma di conservazione dei dati, la mancata richiesta di password di account sicure e la mancata conduzione di regolari valutazioni della protezione dei dati. Le autorità di regolamentazione hanno specificamente richiamato la pratica insolita dell’app Discord di rimanere attiva in background, mantenendo l’utente attivo sulla chat vocale dopo che l’utente ha fatto clic sul pulsante “Chiudi”. Il DPA ha notato nelle sue conclusioni che Discord ha collaborato alle sue indagini e ha adottato misure per rimediare alle presunte violazioni.

La CNIL ha dunque affermato che Discord ha violato il GDPR sotto vari punti di vista: ad esempio, facendo clic sul pulsante “X” nelle chat vocali non ha disconnesso gli utenti, anche se il pulsante è stato presentato chiaramente come un mezzo per uscire da una chat: il clic sulla “X” nella maggior parte delle applicazioni Windows termina l’uso del servizio, ma nel sistema relativo a Discord, la X sposta semplicemente l’applicazione in background e chiaramente questo ha portato gli utenti a trasmettere inconsapevolmente conversazioni private a chiunque partecipi a una chat.

L’indagine dell’agenzia ha anche rivelato che Discord consentiva agli utenti di inserire password deboli di sei caratteri alfanumerici. Il servizio ora richiede agli utenti di disporre di una password di otto caratteri che includa tutti e quattro i tipi di caratteri ed è stato dunque ritenuto che la politica di gestione delle password di Discord non fosse sufficientemente forte e restrittiva per garantire la sicurezza degli account degli utenti.

Ai sensi dell’art. 5 GDPR è noto il fatto che i dati personali debbano essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

Sussiste dunque lo scopo di evitare che la conservazione ed trattamento dei dati, possano avvenire per tempi eccessivamente sproporzionati rispetto a quanto necessario. A tal proposito il CNIL ha riscontrato che la società non aveva disposto una precisa politica precisa relativa al periodo di conservazione dei dati personali, dunque, nel provvedimento disposto si evince letteralmente che “i dati sono stati conservati per più di sei anni, data in cui è stato lanciato il servizio Discord”, e “la società non ha effettuato alcuna cancellazione o archiviazione regolare dei dati al termine di un periodo definito”.

All’interno del sistema di conservazione dei dati facenti capo a Discord “vi sono 2.474.000 milioni di account di utenti francesi che non hanno utilizzato il proprio account per più di tre anni e 58.000 account che non sono stati utilizzati per più di cinque anni, senza che la società abbia fornito alcuna spiegazione o giustificazione specifica per mantenere questi account inattivi”. Alla luce di queste considerazioni, è stato accertata, da parte del Comitato, la violazione del principio della limitazione della conservazione, considerando l’avvenuta implementazione di politiche relative all’art. 5 GDPR.

Visualizzazioni: 60