Le cinque multe più alte nel maggio 2024

10 giugno 2024

Categorie:

Protezione dei dati in Europa

Nel maggio 2024, un altro Fine milioni di euro per gravi violazioni della protezione dei dati. E questo contro un'azienda che dovrebbe proteggere i propri clienti su Internet.

1. Avast Software e Avast Limited: 13,9 milioni di euro (Repubblica Ceca)

L'Autorità ceca per la protezione dei dati ha avviato un procedimento contro Avast Software, con sede a Praga (Repubblica Ceca), e Avast Limited, con sede a Praga (Repubblica Ceca). Fine per un importo di 13,9 milioni di euro (351 milioni di CZK). La decisione finale del responsabile Autorità di vigilanza ha avuto luogo il 10 aprile 2024, la pubblicazione il 2 maggio 2024.

Una soffiata anonima e le notizie riportate dai media alla fine del 2019 hanno dato il via alle indagini.

Il ceco Autorità di vigilanza ha notato che l'azienda Dati personali di utenti del suo software antivirus e delle sue estensioni per browser alla sua consociata senza una base legale. I dati trasferiti riguardavano circa 100 milioni di utenti e comprendevano, in particolare, le cronologie di navigazione in Internet pseudonimizzate degli utenti, collegate a un identificatore unico. Inoltre, il Autorità di vigilanza che quello per il Elaborazione Persone responsabili aveva informato erroneamente i propri utenti (le persone interessate) in merito a questi trasferimenti di dati, sostenendo che i dati trasferiti erano anonimizzati e utilizzati esclusivamente per l'analisi statistica delle tendenze. La LSA è giunta alla conclusione che le cronologie di navigazione in Internet, anche se non sono complete, Dati personali poiché è possibile identificare nuovamente almeno alcune delle persone interessate. Il comportamento scorretto è tanto più grave in quanto l'azienda è uno dei maggiori esperti di cybersecurity, che fornisce al pubblico strumenti per proteggere i dati e la privacy dei cittadini. La privacy disponibile.

Fonte: Il Presidente dell'Ufficio per la protezione dei dati personali

2° Verkkokauppa.com: 856.000 euro (Finlandia)

Dopo un Reclamo il finlandese Autorità di vigilanza ha indagato sulle attività del rivenditore online Verkkokauppa.com. L'azienda richiedeva ai propri clienti di registrarsi prima di poter effettuare acquisti online. Gli acquisti nel negozio online non erano possibili senza creare un account cliente.

L'esame della società ha rivelato che i dati degli account dei clienti del negozio online erano conservati a tempo indeterminato. Inoltre, non vi era alcuna indicazione del periodo di conservazione dei dati raccolti.

Inoltre, la prassi di richiedere la creazione di un account cliente per gli acquisti online viola la legge sulla protezione dei dati. La creazione di un account cliente o la memorizzazione dei dati personali risultanti da tale creazione non può essere un requisito indispensabile per la conclusione di singoli acquisti online.

Il finlandese Autorità di vigilanza ha imposto il divieto di utilizzo dell'azienda con decisione del 6 marzo 2024. Fine per un importo di 856.000 euro nei confronti di Verkkokauppa.com, perché non aveva stabilito un periodo di conservazione dei dati degli account dei clienti. All'azienda è stato inoltre ordinato di correggere la sua pratica di richiedere la registrazione per gli acquisti online. La decisione è stata pubblicata l'8 maggio.

Fonte: Comunicato stampa Mediatore per la protezione dei dati

3° Ministero dell'Interno greco: 400.000 euro

L'autorità greca per la protezione dei dati ha scoperto in un'indagine che l'europarlamentare Anna-Michelle Asimakopoulou ha inviato e-mail politiche a elettori greci all'estero senza autorizzazione. Gli indirizzi e-mail provenivano da un registro tenuto dal Ministero dell'Interno per le elezioni del 2023. Ci sono state 236 denunce per l'invio di messaggi politici non richiesti da parte di Asimakopoulou. Ci sono state anche 66 denunce contro il Ministero dell'Interno per aver trasmesso questi indirizzi.

L'indagine sul Autorità di vigilanza ha rivelato che Asimakopoulou ha utilizzato una lista di 25.538 indirizzi e-mail, 23.392 dei quali corrispondevano a quelli del Ministero dell'Interno. Gli indirizzi non erano adeguatamente protetti e il trattamento è stato effettuato senza sufficienti misure di protezione.

Il 27 maggio 2024, l'autorità greca per la protezione dei dati ha pertanto emesso una Fine di 400.000 euro nei confronti del Ministero dell'Interno e ha raccomandato misure volte a migliorare la Sicurezza dei dati. Inoltre, il Autorità di vigilanza il Ministero dell'Interno per garantire il rispetto delle norme sulla protezione dei dati.

Una multa di 40.000 euro è stata emessa contro la deputata Anna-Michelle Asimakopoulou.

Fonte: Avviso di multa

4. 4Finance Spain Financial Services, S.A.U.: 360.000 euro (Spagna)

L'Agenzia spagnola per la protezione dei dati (AEPD) ha avviato un procedimento di ammenda nei confronti di 4Finance Spain Financial Services dopo la segnalazione di una violazione della sicurezza avvenuta il 17 febbraio 2023.

L'indagine ha rivelato che gli aggressori hanno utilizzato credenziali rubate per accedere ai conti dei clienti e presentare richieste di credito fraudolente. L'accesso ai dati è stato ottenuto tramite attacchi brute force e credential stuffing. In totale sono stati colpiti 9.497 clienti, i cui dati personali e finanziari sono stati compromessi da un accesso non autorizzato.

Inoltre, è emerso che l'azienda non ha comunicato tempestivamente la violazione dei dati all'AEPD o agli interessati, sebbene ciò fosse richiesto dagli articoli 33 e 34 del Regolamento generale sulla protezione dei dati (GDPR) sarebbe stato necessario. L'azienda ha informato i clienti interessati dell'incidente solo l'11 aprile 2023, in seguito a un ordine dell'AEPD.

A seguito dell'incidente, 4Finance Spain Financial Services ha introdotto ulteriori misure di sicurezza, tra cui l'introduzione dell'autenticazione a due fattori (2FA) per prevenire futuri attacchi.

La multa originaria di 600.000 euro è stata ridotta a 360.000 euro con decisione dell'8 aprile 2024 a causa della dichiarazione di colpevolezza. La decisione è stata pubblicata l'8 maggio 2024.

Fonte: Avviso di multa dell'AEPD

5° Vodafone España: 200.000 euro (Spagna)

A causa della Reclamo di un cliente, l'Autorità spagnola per la protezione dei dati (AEPD) ha avviato un procedimento sanzionatorio nei confronti di Vodafone España, S.A.U. Il cliente aveva ricevuto un SMS il 14 gennaio 2022 che annunciava un cambio di intestatario del contratto senza il suo consenso. Vodafone ha confermato che il cambio era stato effettuato in modo fraudolento in un negozio di Rubí (Barcellona).

La compagnia telefonica ha dichiarato che la frode è stata commessa da una terza persona che ha ottenuto i dati personali del cliente e li ha utilizzati per concludere diversi contratti fraudolenti. A seguito di un'indagine, Vodafone ha scoperto che la frode è stata resa possibile da documenti d'identità falsificati e da controlli d'identità inadeguati in diversi negozi di Barcellona e Valencia.

Vodafone ha agito per cancellare i contratti fraudolenti, ha rimborsato il cliente per i costi sostenuti e lo ha aggiunto all'elenco interno delle vittime di frode per prevenire futuri incidenti.

Tuttavia, l'AEPD ha rilevato che Vodafone non aveva adottato misure sufficienti per prevenire tali frodi. Inoltre, le misure di sicurezza erano inadeguate per verificare adeguatamente l'identità dei clienti al momento della firma del contratto.

L'AEPD ha raccomandato una revisione dei protocolli di sicurezza di Vodafone e ha imposto una multa di 200.000 euro per violazione dell'articolo 6, paragrafo 1, della legge. GDPR. Secondo il Autorità di vigilanza non ha controllato la legalità del Elaborazione dei dati personali.

Fonte: Avviso di multa dell'AEPD

Tag:

Avast, Fine, GDPR

Condividi questo post :

Categorie più popolari

Iscrivetevi alla nostra newsletter sulla protezione dei dati per ricevere gli ultimi aggiornamenti, consigli e approfondimenti direttamente nella vostra casella di posta elettronica.