La top 5 delle multe GDPR del mese di luglio dimostra che le gravi violazioni del GDPR vengono perseguite e sanzionate in tutta Europa. Il noto portale dell'usato Vinted ha dovuto impararlo: L'azienda deve pagare circa 2,4 milioni di euro perché ha commesso gravi violazioni della protezione dei dati nell'UE. Le cinque multe più alte del GDPR a luglio in sintesi:
1° Vinted, Lituania: 2.385.276 euro
Il 2 luglio 2024, l'autorità di vigilanza lituana sulla protezione dei dati, l'Ispettorato statale per la protezione dei dati (SDPI), ha imposto una multa di 2.385.276 euro a Vinted, UAB, l'operatore della piattaforma di commercio online di abbigliamento di seconda mano "Vinted". La multa è stata comminata in seguito alle denunce delle autorità di controllo francesi e polacche.
La multa è stata comminata perché Vinted non aveva trattato correttamente le richieste di cancellazione dei dati personali e di accesso a tali dati. Le richieste sono state respinte in quanto i richiedenti non avevano fornito una motivazione specifica ai sensi dell'articolo 17 del Regolamento generale sulla protezione dei dati.
Inoltre, Vinted ha utilizzato illegittimamente il "blocco ombra", in cui i dati degli utenti venivano trattati a loro insaputa, in violazione dei principi di correttezza e trasparenza. Inoltre, non sono state adottate misure tecniche e organizzative sufficienti a garantire la responsabilità e a dimostrare che le richieste di esercizio dei diritti degli interessati sono state soddisfatte in modo appropriato.
Le violazioni erano di natura transfrontaliera e riguardavano un gran numero di persone per un lungo periodo di tempo. La decisione è stata quindi presa in una riunione a porte chiuse con i rappresentanti dell'SDPI e dell'azienda e coordinata con le autorità di protezione dei dati di altri Stati membri dell'UE.
Fonte: Comunicato stampa Ispettorato statale per la protezione dei dati
2° AS Watson Health & Beauty Continental Europe, Paesi Bassi: 600.000 euro
L'autorità olandese per la protezione dei dati Autoriteit Persoonsgegevens (AP) ha inflitto una multa di 600.000 euro alla società che gestisce la catena di farmacie Kruidvat.
Il motivo è che l'azienda ha tracciato i visitatori del sito web Kruidvat.nl con cookie di tracciamento senza che questi ne fossero a conoscenza o avessero dato il loro consenso. In questo modo, Kruidvat ha raccolto dati personali sensibili di milioni di visitatori del sito web senza il loro consenso.
L'azienda ha inoltre creato profili personali dei visitatori raccogliendo dati come la posizione, le pagine visitate, i prodotti aggiunti e acquistati e le raccomandazioni cliccate. I dati raccolti includevano informazioni sensibili come test di gravidanza, contraccettivi e farmaci, consentendo di tracciare un profilo dettagliato e invasivo dei visitatori.
Inoltre, il banner dei cookie su Kruidvat.nl conteneva caselle di consenso spuntate per impostazione predefinita, il che non è consentito. I visitatori del sito web hanno dovuto seguire diversi passaggi per rifiutare i cookie.
3. GSMA Limited, Spagna: 600.000 euro
L'autorità spagnola per la protezione dei dati personali Agencia española protección datos (AEPD) ha indagato sulle azioni di GSMA Limited, l'organizzatore del Mobile World Congress 2022 (MWC 2022), a seguito di un reclamo di un privato.
I dipendenti del MWC 2022 hanno dovuto caricare la propria tessera di vaccinazione COVID-19 o informazioni sanitarie equivalenti su un portale online per poter accedere al sito. La GSMA ha spiegato che la raccolta dei dati sanitari era necessaria per garantire la sicurezza dell'evento e per prevenire la diffusione della COVID-19. I dati saranno gestiti da Quironprevención, un fornitore di servizi medici, e saranno cancellati al termine dell'evento.
L'indagine dell'AEPD ha rivelato che il GSMA non aveva informato a sufficienza gli interessati sul trattamento dei dati. Inoltre, il GSMA non disponeva di una base giuridica sufficiente per il trattamento dei dati sanitari.
La multa è così composta: 100.000 euro per la violazione dell'art. 14 GDPR. 300.000 euro per la violazione dell'art. 9 par. 2 GDPR. 200.000 euro per la violazione dell'art. 6 par. 1 GDPR.
4. Telefónica Móviles España (TME), Spagna: 200.000 euro
Il 21 marzo 2023, una persona ha presentato un reclamo all'autorità spagnola per la protezione dei dati personali Agencia española protección datos (AEPD). Il denunciante ha dichiarato che la sua carta SIM Movistar ha improvvisamente smesso di funzionare il 7 gennaio 2023. Dopo essersi recato in un negozio Movistar il 9 gennaio, ha ricevuto una nuova carta SIM e successivamente ha scoperto che tra il 7 e il 9 gennaio erano state effettuate sei transazioni bancarie non autorizzate. Il 17 gennaio TME ha informato il denunciante che il 7 gennaio era stato emesso un duplicato della carta SIM a una terza persona.
Durante l'indagine del DPA, TME ha spiegato che la procedura abituale per l'emissione di una carta SIM duplicata prevede una doppia verifica dell'identità (visiva e documentale) per garantire che solo le persone autorizzate ricevano la carta. Tuttavia, TME non è stata in grado di fornire la documentazione che conferma la verifica dell'identità della terza persona il 7 gennaio.
L'AEPD ha riscontrato che TME ha violato l'articolo 6, paragrafo 1, del Regolamento generale sulla protezione dei dati (GDPR) emettendo la carta SIM a una terza parte non autorizzata senza una sufficiente verifica dell'identità. Ciò non è precluso dal fatto che l'incidente sia stato causato da un comportamento fraudolento di una terza parte. A TME sarà inflitta una multa di 200.000 euro.
5 Vodafone España, Spagna: 200.000 euro
Un privato ha ricevuto ripetutamente chiamate pubblicitarie non autorizzate da numeri Vodafone, nonostante il suo numero sia inserito nella lista Robinson per la prevenzione delle chiamate pubblicitarie.
Vodafone ha spiegato che le chiamate non provenivano dai suoi partner autorizzati e che i numeri di telefono in questione erano gestiti da terzi. Inoltre, Vodafone ha informato l'Agenzia spagnola per la protezione dei dati (AEPD) di aver interrotto la collaborazione con i partner che avevano ripetutamente violato le norme sulla protezione dei dati e di aver adottato misure per identificare meglio i numeri di telefono.
Tuttavia, durante l'indagine, l'AEPD ha riscontrato che Vodafone ha violato l'articolo 58, paragrafo 1, del Regolamento generale sulla protezione dei dati (GDPR) non fornendo le informazioni necessarie per l'indagine sulle chiamate. L'azienda è stata multata di 200.000 euro per insufficiente collaborazione e mancata fornitura delle informazioni necessarie nell'ambito di un'indagine sulla protezione dei dati.