Nel mese di giugno, le autorità per la protezione dei dati in Spagna e in Italia sono state particolarmente attive e hanno emesso multe elevate. La multa più alta è stata inflitta a un'azienda energetica italiana per chiamate pubblicitarie non autorizzate.
1° Eni Plenitude, Italia: 6.419.631 euro
Il Garante per la protezione dei dati personali ha inflitto una multa di 6.419.631 euro alla società energetica Eni Plenitude con una decisione del 6 giugno 2024. Il motivo di questa multa sono le ampie violazioni della protezione dei dati nel contesto delle attività di telemarketing.
L'autorità ha ricevuto numerose denunce da parte di persone interessate che lamentavano chiamate pubblicitarie indesiderate e ripetute. Alcune delle persone interessate hanno addirittura segnalato di aver ricevuto fino a 248 chiamate in pochi mesi, nonostante fossero iscritte al Registro Pubblico delle Opposizioni (RPO). L'RPO è un registro a cui ci si può iscrivere per evitare chiamate pubblicitarie indesiderate.
Un'indagine dell'autorità per la protezione dei dati ha rivelato che in una sola settimana, 657 dei 747 contratti stipulati sono risultati da richieste di contatto non autorizzate.
Nel determinare la multa, l'autorità per la protezione dei dati ha tenuto conto della gravità delle violazioni e del fatto che Eni Plenitude era già stata sanzionata in passato per violazioni simili. Sebbene la società avesse adottato alcune misure per migliorare le proprie pratiche di protezione dei dati, l'indagine ha rilevato che tali misure erano inadeguate. In particolare, mancavano controlli adeguati e misure di sicurezza per garantire la legittimità del trattamento dei dati.
Suggerimento per il collegamento: Avviso di multa Garante per la protezione dei dati personali (GPDP)
2. Avanza Bank AB, Svezia: 15.000.000 SEK (1.332.681 EUR)
Il 24 giugno 2024 l'Autorità svedese per la protezione dei dati (IMY) ha imposto una multa di 15 milioni di corone (circa 1.332.681 euro) ad Avanza Bank AB. Il motivo è l'utilizzo di un cosiddetto meta pixel sul sito web della banca e nell'app, che trasmetteva a Meta (ex Facebook) dati personali come le partecipazioni in titoli e i numeri di conto.
Tra il 15 novembre 2019 e il 2 giugno 2021, i dati personali di un milione di persone sono stati trasmessi a Meta a causa di impostazioni errate. Il trasferimento è avvenuto quando Avanza ha inavvertitamente attivato nuove funzioni del pixel Meta, utilizzato per ottimizzare il marketing su Facebook.
I dati trasferiti includevano informazioni su titoli in portafoglio, importi di prestiti, numeri di conto e numeri di personale. Secondo Catharina Fernquist, capo dipartimento dell'IMY, la banca ha violato il Regolamento generale sulla protezione dei dati (GDPR) non avendo adottato misure tecniche e organizzative adeguate per proteggere i dati personali dei visitatori del sito web e degli utenti dell'app.
Dopo che Avanza è stata informata dell'incidente, la banca ha disattivato il pixel e ha confermato che Meta aveva cancellato i dati raccolti. Inoltre, Avanza ha migliorato le proprie procedure interne per garantire un trattamento corretto e sicuro dei dati personali.
Suggerimento per il collegamento: Avviso di fining Integritetsskyddsmyndigheten (IMY)
3a società sconosciuta, Belgio: 172.341 euro
Il 3 giugno 2024, l'Autorità belga per la protezione dei dati (Autorité de protection des données) ha inflitto una multa di 172.341 euro a una società senza nome.
Un privato aveva ripetutamente ricevuto messaggi commerciali non richiesti, nonostante avesse precedentemente esercitato il diritto di cancellazione e di opposizione. Nonostante l'esplicita obiezione all'uso dei dati per scopi di marketing diretto, la società ha continuato a inviare messaggi pubblicitari.
L'indagine dell'autorità per la protezione dei dati ha rilevato che l'azienda non aveva implementato misure tecniche e organizzative adeguate per garantire e dimostrare la conformità al Regolamento generale sulla protezione dei dati.
L'autorità ha inizialmente imposto una multa di 2.000.000 di euro, che è stata ridotta a 172.431 euro dopo aver preso in considerazione la situazione finanziaria e le dimensioni dell'azienda. Questa riduzione era volta a garantire che la multa fosse proporzionata e allo stesso tempo dissuasiva.
Suggerimento per il collegamento: Ordinanza amministrativa che impone una multa Autorité de protection des données
4. Allianz Compañía de Seguros y Reaseguros, S.A., Spagna: 120.000 euro
Un cliente di Allianz ha denunciato all'autorità per la protezione dei dati personali che la sua ex compagna era in possesso di documenti contenenti informazioni riservate sulla sua polizza di assicurazione auto e una relazione della Dirección General de Tráfico (DGT). Queste informazioni erano state estratte dai sistemi interni di Allianz e trasmesse senza il consenso del cliente.
L'indagine dell'Agenzia spagnola per la protezione dei dati (Agencia Española de Protección de Datos, AEPD) ha rilevato che Allianz non aveva adottato misure tecniche e organizzative adeguate per garantire la riservatezza dei dati personali. Un dipendente ha potuto accedere a dati sensibili senza autorizzazione e trasmetterli all'ex partner del cliente.
La mancanza di controllo sull'accesso ai dati sensibili è stata considerata una grave omissione. L'AEPD ha quindi imposto ad Allianz una multa di 160.000 euro, ridotta a 120.000 euro in caso di pagamento puntuale della sanzione.
Suggerimento per il collegamento: Avviso di multa Agencia Española de Protección de Datos
5° Cappello Giovanni & Figli, Italia: 120.000 euro
Il 6 giugno 2024, l'Autorità Garante per la Protezione dei Dati Personali ha emesso una multa di 120.000 euro nei confronti della società Cappello Giovanni & Figli s.r.l.
Un ex dipendente aveva denunciato il trattamento illecito dei suoi dati personali da parte della società, una concessionaria di automobili. Il reclamo riguardava due sistemi: il software Infinity DMS e l'hardware X-Face 380, utilizzati per registrare e monitorare le ore di lavoro.
Un'indagine della Guardia di Finanza ha rivelato che i sistemi venivano utilizzati negli stabilimenti produttivi di Modica e Ragusa per registrare le ore di lavoro e le presenze dei dipendenti. Questi dati venivano utilizzati anche per creare le buste paga.
Secondo l'autorità per la protezione dei dati, l'uso del sistema di riconoscimento facciale X-Face 380 per registrare le presenze era sproporzionato e non coperto dalle disposizioni di legge. Inoltre, i dipendenti non sono stati sufficientemente informati sul trattamento dei loro dati. L'informativa sulla privacy fornita era inadeguata e non conteneva informazioni dettagliate sullo scopo e la durata della conservazione dei dati o sui diritti degli interessati.
Suggerimento per il collegamento: Avviso di multa Garante per la Protezione dei Dati Personali (GPDP)
Italian 
German 
English 
French