Le cinque multe più alte nel maggio 2024

Nel maggio 2024 è stata comminata un'altra multa milionaria per la protezione dei dati. E questo contro un'azienda che dovrebbe proteggere i propri clienti su Internet.
Categorie:

Nel maggio 2024 è stata comminata un'altra multa milionaria per gravi violazioni della protezione dei dati. E questo contro un'azienda che dovrebbe proteggere i propri clienti online.

1. Avast Software e Avast Limited: 13,9 milioni di euro (Repubblica Ceca)

L'autorità ceca per la protezione dei dati ha imposto una multa di 13,9 milioni di euro (351 milioni di CZK) ad Avast Software, con sede a Praga (Repubblica Ceca), e ad Avast Limited. La decisione finale dell'autorità di vigilanza competente è stata emessa il 10 aprile 2024 e pubblicata il 2 maggio 2024.

Una soffiata anonima e le notizie riportate dai media alla fine del 2019 hanno dato il via alle indagini.

L'autorità di vigilanza ceca ha riscontrato che l'azienda ha trasferito i dati personali degli utenti del suo software antivirus e delle sue estensioni per browser alla sua consociata senza una base legale. I dati trasferiti riguardavano circa 100 milioni di utenti e comprendevano, in particolare, le cronologie di navigazione in Internet pseudonimizzate degli utenti collegate a un identificatore unico. Inoltre, l'autorità di controllo ha riscontrato che il responsabile del trattamento aveva informato erroneamente i propri utenti (le persone interessate) in merito a questi trasferimenti di dati, sostenendo che i dati trasferiti erano anonimizzati e utilizzati esclusivamente per l'analisi statistica delle tendenze. La LSA è giunta alla conclusione che le cronologie di navigazione in Internet, anche se non complete, possono costituire dati personali, in quanto è possibile identificare nuovamente almeno alcuni degli interessati. Il comportamento scorretto è tanto più grave in quanto l'azienda è uno dei maggiori esperti di sicurezza informatica e fornisce al pubblico strumenti per la protezione dei dati e della privacy.

Fonte: Il Presidente dell'Ufficio per la protezione dei dati personali

2° Verkkokauppa.com: 856.000 euro (Finlandia)

A seguito di un reclamo, l'autorità di vigilanza finlandese ha indagato sulle attività del rivenditore online Verkkokauppa.com. L'azienda richiedeva ai propri clienti di registrarsi prima di poter effettuare acquisti online. Gli acquisti nel negozio online non erano possibili senza creare un account cliente.

L'esame dell'azienda ha rivelato che i dati degli account dei clienti del negozio online erano conservati a tempo indeterminato. Inoltre, non vi erano indicazioni sul periodo di conservazione dei dati raccolti. 

Inoltre, la prassi di richiedere la creazione di un account cliente per gli acquisti online viola la legge sulla protezione dei dati. La creazione di un account cliente o la memorizzazione dei dati personali risultanti da tale creazione non può essere un requisito indispensabile per la conclusione di singoli acquisti online.

Con una decisione del 6 marzo 2024, l'autorità di vigilanza finlandese ha imposto una multa di 856.000 euro a Verkkokauppa.com per non aver stabilito un periodo di conservazione dei dati degli account dei clienti. All'azienda è stato inoltre ordinato di correggere la sua pratica di richiedere la registrazione per gli acquisti online. La decisione è stata pubblicata l'8 maggio.

Fonte: Comunicato stampa Mediatore per la protezione dei dati

3° Ministero dell'Interno greco: 400.000 euro

L'autorità greca per la protezione dei dati ha scoperto in un'indagine che l'europarlamentare Anna-Michelle Asimakopoulou ha inviato e-mail politiche a elettori greci all'estero senza autorizzazione. Gli indirizzi e-mail provenivano da un registro tenuto dal Ministero dell'Interno per le elezioni del 2023. Ci sono state 236 denunce per l'invio di messaggi politici non richiesti da parte di Asimakopoulou. Ci sono state anche 66 denunce contro il Ministero dell'Interno per aver trasmesso questi indirizzi.

L'indagine dell'autorità di vigilanza ha rivelato che Asimakopoulou ha utilizzato una lista di 25.538 indirizzi e-mail, 23.392 dei quali corrispondevano a quelli del Ministero dell'Interno. Gli indirizzi non erano adeguatamente protetti e venivano trattati senza adeguate garanzie.

Il 27 maggio 2020 l'autorità greca per la protezione dei dati ha quindi imposto una multa di 400.000 euro al Ministero dell'Interno e ha raccomandato misure per migliorare la sicurezza dei dati. L'autorità di controllo ha inoltre invitato il Ministero dell'Interno a garantire il rispetto delle norme sulla protezione dei dati.

Una multa di 40.000 euro è stata emessa contro la deputata Anna-Michelle Asimakopoulou.

Fonte: Avviso di multa

4. 4Finance Spain Financial Services, S.A.U.: 360.000 euro (Spagna)

L'Agenzia spagnola per la protezione dei dati (AEPD) ha avviato un procedimento di ammenda nei confronti di 4Finance Spain Financial Services dopo la segnalazione di una violazione della sicurezza avvenuta il 17 febbraio 2023.

L'indagine ha rivelato che gli aggressori hanno utilizzato credenziali rubate per accedere ai conti dei clienti e presentare richieste di credito fraudolente. L'accesso ai dati è stato ottenuto tramite attacchi brute force e credential stuffing. In totale sono stati colpiti 9.497 clienti, i cui dati personali e finanziari sono stati compromessi da un accesso non autorizzato.

È emerso inoltre che l'azienda non ha comunicato tempestivamente la violazione dei dati all'AEPD o agli interessati, sebbene ciò sarebbe stato richiesto dagli articoli 33 e 34 del Regolamento generale sulla protezione dei dati (GDPR). L'azienda ha informato i clienti interessati dell'incidente solo l'11 aprile 2023, in seguito a un ordine dell'AEPD.

A seguito dell'incidente, 4Finance Spain Financial Services ha introdotto ulteriori misure di sicurezza, tra cui l'introduzione dell'autenticazione a due fattori (2FA) per prevenire futuri attacchi.

La multa originaria di 600.000 euro è stata ridotta a 360.000 euro con decisione dell'8 aprile 2024 a causa della dichiarazione di colpevolezza. La decisione è stata pubblicata l'8 maggio 2024.

Fonte: Avviso di multa dell'AEPD

5. Vodafone España: 200.000 euro (Spagna)

In seguito alla denuncia di un cliente, l'Autorità spagnola per la protezione dei dati (AEPD) ha avviato un procedimento sanzionatorio nei confronti di Vodafone España, S.A.U. Il cliente aveva ricevuto un SMS il 14 gennaio 2022 che annunciava un cambio di intestatario del contratto senza il suo consenso. Vodafone ha confermato che il cambio era stato effettuato in modo fraudolento in un negozio di Rubí (Barcellona).

La compagnia telefonica ha dichiarato che la frode è stata commessa da una terza persona che ha ottenuto i dati personali del cliente e li ha utilizzati per concludere diversi contratti fraudolenti. A seguito di un'indagine, Vodafone ha scoperto che la frode è stata resa possibile da documenti d'identità falsificati e da controlli d'identità inadeguati in diversi negozi di Barcellona e Valencia.

Vodafone ha agito per cancellare i contratti fraudolenti, ha rimborsato il cliente per i costi sostenuti e lo ha aggiunto all'elenco interno delle vittime di frode per prevenire futuri incidenti.

Tuttavia, l'AEPD ha rilevato che Vodafone non aveva adottato misure sufficienti per prevenire tali frodi. Inoltre, le misure di sicurezza erano insufficienti per verificare adeguatamente l'identità dei clienti al momento della firma del contratto.

L'AEPD ha raccomandato una revisione dei protocolli di sicurezza di Vodafone e ha imposto una multa di 200.000 euro per violazione dell'articolo 6(1) del GDPR. Secondo l'autorità di controllo, Vodafone non ha garantito la legittimità del trattamento dei dati personali.

Fonte: Avviso di multa dell'AEPD

Tag:
Condividi questo post :
it_ITItalian