A fine gennaio 2025, la Personal Information Protection Commission (PIPC) della Sud Corea ha sanzionato KakaoPay, Apple e Alipay Singapore inseguito a una riscontrata violazione sulle norme di trasferimento internazionale di dati personali. KakaoPay ed Apple hanno subito una sanzione amministrativa per un valore totale di circa 83,75 miliardi di won (circa 53 milioni di euro) nonché un’ingiunzione ad adeguarsi alle disposizioni in tema di trattamento e tutela dei dati personali, mentre ad AliPay Singapore è stato ingiunto di cancellare un modello di calcolo di solvibilità, costruito senza il consenso degli utenti.
Indice degli argomenti
I fatti contestati dalla Personal Information Protection Commission
KakaoTalk è la più popolare piattaforma di messaggistica istantanea e di servizi online presente nel mercato sudcoreano ed è gestita dalla Kakao Corporation. È accessibile anche dal territorio europeo, seppur con limitazioni. KakaoPay è un servizio di pagamento mobile e portafoglio digitale integrato nell’ecosistema di KakaoTalk che consente agli utenti di effettuare pagamenti mobili e transazioni online.
Il trasferimento illecito di dati personali
Tra il 2018 e il 2024, KakaoPay ha trasmesso informazioni di pagamento dei propri utenti ad Apple attraverso l’intermediario Alipay, il quale forniva servizi di integrazione del sistema di pagamento all’interno di Apple, e Apple affidava ad Alipay le attività di elaborazione delle informazioni personali relative all’elaborazione dei pagamenti, compreso il calcolo del punteggio NSF. Con “Non-Sufficient Funds” si suole indicare come un conto (ad es. Un conto corrent,e ma come anche un portafoglio digitale) non abbia un saldo sufficiente per coprire una transazione. Calcolare un punteggio relativo a questo aspetto funge da metrica per stimare la probabilità che un pagamento possa fallire per assenza di liquidità sul conto, in una chiave di affidabilità finanziaria.
In questo processo, a seguito delle indagini della PIPC, è emerso che KakaoPay ha trasmesso una serie di dati personali (es.: hash dell’ID dell’utente, hash del numero di telefono e informazioni relative alla possibilità di esaurimento dei fondi) di tutti gli utenti di Kakao Pay (circa 40 milioni di utenti) ad Alipay senza il loro consenso (consenso separato, come richiesto secondo la normativa locale per la fornitura da parte di terzi e il trasferimento all’estero) per tre volte tra aprile e luglio 2018, in modo che Alipay, in qualità di fornitore e intermediario di Apple, potesse costruire un modello per il calcolo dei punteggi NSF. A seguire, KakaoPay avrebbe ritrasmesso le informazioni personali di tali utenti Alipay, sempre senza il loro consenso, in modo che Alipay potesse calcolare i punteggi NSF per ogni utente ogni giorno dal 27 giugno 2019 al 21 maggio 2024. Questo traffico di dati ha generato, secondo le stime, un numero cumulativo di circa 54 miliardi di scambi di informazioni.
Le implicazioni per gli utenti nella violazione dati personali
Dunque, Alipay riceveva ogni giorno le informazioni sui clienti da KakaoPay e calcolava in anticipo il punteggio NSF di ciascun utente e, successivamente, forniva questo dato ad Apple quando questa doveva verificare il punteggio NSF dell’utente che aveva effettuato il pagamento. Altro elemento preoccupante della vicenda è stato che, sebbene meno del 20% di tutti gli utenti di KakaoPay avesse registrato KakaoPay come metodo di pagamento su dispositivi Apple, KakaoPay ha comunque trasmesso le informazioni di tutti i suoi utenti, inclusi utenti non Apple.
Di conseguenza Kakao Pay ha fornito le informazioni personali di tutti i suoi utenti ad Alipay allo scopo di valutare gli utenti del servizio Apple senza il loro consenso. In questo caso, gli utenti non sono stati informati su quali delle loro informazioni personali venissero trasferite all’estero e per quali motivi.
Le violazioni riscontrate
In sintesi, dunque, le violazioni riscontrate dalla PIPC, dal punto di vista fattuale, sono state le seguenti:
- KakaoPay ha fornito dati personali di tutti i suoi utenti ad Apple (e Alipay) senza il consenso di quest’ultimi.
- Apple ha mancato di notificare agli utenti dell’affidamento del trattamento di dati personali ad Alipay, con relativa notifica di trasferimento di tali personali al di fuori del territorio nazionale sudcoreano.
- Alipay ha creato un modello per il calcolo del punteggio di NSF sfruttando dati raccolti senza il consenso degli interessati.
Le sanzioni e l’impatto della violazione dati personali
Come anticipato, a KakaoPay e Apple sono state comminate sanzioni di tipo amministrativo nonché ordini correttivi relativi alla necessità di adeguarsi alle disposizioni locali in tema di trattamento di dati personali. Meno “appariscente” ma, potenzialmente, molto più impattante è invece l’ordine correttivo ingiunto ad Alipay da parte della PIPC avente ad oggetto la distruzione totale del modello di calcolo del punteggio NSF. La motivazione della decisione fornita dall’autorità di vigilanza è quantomai semplice: essendo il modello di calcolo stato creato utilizzando dati personali forniti illegalmente, nonché trasferiti all’estero, l’unica modalità efficace per la risoluzione della difformità è quella della distruzione di tale modello di calcolo.
Questa decisione si pone tra le prime che hanno avuto come conseguenze l’ordine di cancellazione di un modello di calcolo costruito su dati personali trattati illecitamente. Nella giurisprudenza, europea, in ambito di tutela dei dati personali, il punto di attenzione principale delle autorità di controllo è sempre stato rivolto ai dati in sé e non tanto, poi, ad eventuali modelli (illeciti) costruiti su tali dati.
Il caso Clearview AI del febbraio 2022 e la decisione del Garante Privacy
Prendendo come riferimento un caso italiano con alcuni tratti di somiglianza, ovvero il caso Clearview AI del febbraio 2022, nella decisione del Garante per la Protezione dei Dati Personali fu disposto, tra le varie indicazioni del Garante:
- «il divieto di prosecuzione del trattamento e di ulteriore raccolta, mediante tecniche di web scraping, di immagini e relativi metadati concernenti persone che si trovino nel territorio italiano ed il divieto di ogni ulteriore operazione di trattamento dei dati, comuni e biometrici, elaborati dalla Società attraverso il proprio sistema di riconoscimento facciale, relativamente a persone che si trovino nel territorio italiano»; e
- «la cancellazione dei dati, comuni e biometrici, elaborati dalla Società attraverso il suo sistema di riconoscimento facciale relativi a persone che si trovano nel territorio italiano».
Come si può notare, nulla fu detto sul sistema di riconoscimento facciale in sé, alla cui base presentava anche tecnologie di machine learning per l’elaborazione di immagini che concorrevano alla finalità di erogazione di un servizio di ricerca biometrica.
Un precedente rilevante per la privacy e la violazione dati personali
Questa decisione da parte della PIPC fornisce sicuramente spunti di riflessione ulteriori in questo periodo storico dove, con la graduale entrata in vigore dell’AI ACT, si sta giocando a livello europeo (e anche nazionale) un’importante partita sulle governance dell’AI a livello di sorveglianza e monitoraggio. Il regolamento europeo sull’intelligenza artificiale fa, a più riprese, richiami alla normativa vigente in tema di protezione di dati personali ponendo, in certe occasioni, quasi come precondizione per una conformità al regolamento stesso una a-priori conformità alle normative in tema di protezione dei dati personali.
Dato il trend oramai segnato in cui la nostra realtà quotidiana sarà pervasa da modelli, più o meno “artificialmente intelligenti”, che incideranno in maniera concreta sulle nostre vite la decisione della PIPC si pone con un precedente di assoluto interesse.
Riferimenti
- Comunicato stampa della PIPC su caso KakaoPay, Apple e Alipay. Disponibile a: https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=10955#LINK
- Provvedimento del Garante italiano per la Protezione dei Dati Personali sul caso Clearview AI. Disponibile a: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9751362
* Alessandro Cortina, International Research Fellow @ ISLC (UNIMI).
Simone Bonavita, Executive Director @ ISLC (UNIMI)
