La classifica delle 5 multe più salate del GDPR per il mese di luglio mostra che le gravi violazioni del GDPR sono perseguiti e sanzionati in tutta Europa. È quanto ha dovuto apprendere il noto portale dell'usato Vinted: L'azienda ha dovuto pagare circa 2,4 milioni di euro perché ha commesso gravi infrazioni alla protezione dei dati nell'UE. Le cinque multe GDPR più alte di luglio in sintesi:
1° Vinted, Lituania: 2.385.276 euro
Il 2 luglio 2024, l'autorità lituana di controllo della protezione dei dati, l'Ispettorato statale per la protezione dei dati (SDPI), ha imposto una Fine per un importo di 2.385.276 euro nei confronti di Vinted, UAB, gestore della piattaforma di commercio online di abiti di seconda mano "Vinted". La multa è stata comminata in seguito alle denunce delle autorità di vigilanza francesi e polacche.
Il Fine è stato imposto perché Vinted ha presentato domande di Cancellazione di dati personali e l'accesso a tali dati. Le richieste sono state respinte in quanto i richiedenti non hanno fornito un motivo specifico ai sensi dell'articolo 17 del Regolamento generale sulla protezione dei dati.
Inoltre, Vinted ha utilizzato illegalmente il "blocco ombra", in base al quale i dati degli utenti sono stati trattati a loro insaputa, violando i principi di correttezza e trasparenza. Trasparenza violati. Inoltre, non sono state adottate misure tecniche e organizzative sufficienti a garantire la responsabilità e a dimostrare che le richieste di esercizio dei diritti degli interessati hanno ricevuto una risposta adeguata.
Le violazioni erano di natura transfrontaliera e riguardavano un gran numero di persone per un lungo periodo di tempo. La decisione è stata quindi presa in una riunione a porte chiuse con i rappresentanti dell'SDPI e dell'azienda e coordinata con le autorità di protezione dei dati di altri Stati membri dell'UE.
Fonte: Comunicato stampa Ispettorato statale per la protezione dei dati
2° AS Watson Health & Beauty Continental Europe, Paesi Bassi: 600.000 euro
L'autorità olandese per la protezione dei dati personali Autoriteit Persoonsgegevens (AP) ha avviato un procedimento contro la società che gestisce la catena di farmacie Kruidvat. Fine per un importo di 600.000 euro.
Il motivo è che l'azienda ha tracciato i visitatori del sito web Kruidvat.nl utilizzando cookie di tracciamento senza che questi ne fossero a conoscenza o avessero dato il loro consenso. In questo modo, Kruidvat ha raccolto dati sensibili Dati personali di milioni di visitatori di siti web senza il loro consenso.
L'azienda ha inoltre creato profili personali dei visitatori raccogliendo dati come la posizione, le pagine visitate, i prodotti aggiunti e acquistati e le raccomandazioni cliccate. I dati raccolti includevano informazioni sensibili come test di gravidanza, contraccettivi e farmaci, consentendo di tracciare un profilo dettagliato e invasivo dei visitatori.
Inoltre, il banner dei cookie su Kruidvat.nl conteneva caselle di consenso spuntate per impostazione predefinita, il che non è consentito. I visitatori del sito web hanno dovuto superare diversi passaggi per accettare i cookie. Biscotti da respingere.
3. GSMA Limited, Spagna: 600.000 euro
L'autorità spagnola per la protezione dei dati, Agencia española protección datos (AEPD), ha indagato su una Reclamo della GSMA Limited, organizzatrice del Mobile World Congress 2022 (MWC 2022).
I dipendenti del MWC 2022 dovevano caricare la propria tessera di vaccinazione COVID-19 o informazioni sanitarie equivalenti su un portale online per poter accedere al sito. Il GSMA ha spiegato che la raccolta dei dati Dati sulla salute necessari per garantire la sicurezza dell'evento e prevenire la diffusione della COVID-19. Hanno dichiarato che i dati sarebbero stati gestiti da Quironprevención, un fornitore di servizi medici, e cancellati al termine dell'evento.
L'indagine dell'AEPD ha rivelato che la GSMA non aveva informato sufficientemente gli interessati sul trattamento dei dati. Inoltre, il GSMA non disponeva di una base giuridica sufficiente per il trattamento dei dati. Elaborazione il Dati sulla salute.
Il Fine è così composto: 100.000 euro per la Violazione contro l'articolo 14 GDPR. 300.000 euro per violazione dell'art. 9 par. 2 GDPR. 200.000 euro per violazione dell'art. 6 par. 1 GDPR.
4. Telefónica Móviles España (TME), Spagna: 200.000 euro
In data 21 marzo 2023, una persona ha presentato un Reclamo all'autorità spagnola per la protezione dei dati Agencia española protección datos (AEPD). Il denunciante ha dichiarato che la sua carta SIM Movistar ha improvvisamente smesso di funzionare il 7 gennaio 2023. Dopo essersi recato in un negozio Movistar il 9 gennaio, ha ricevuto una nuova carta SIM e successivamente ha scoperto che tra il 7 e il 9 gennaio erano state effettuate sei transazioni bancarie non autorizzate. Il 17 gennaio TME ha informato il denunciante che il 7 gennaio era stato inviato un duplicato della carta SIM a un terzo persona è stato emesso.
Durante l'indagine del DPA, TME ha spiegato che la procedura abituale per l'emissione di una carta SIM duplicata prevede una doppia verifica dell'identità (visiva e tramite documenti) per garantire che solo le persone autorizzate ricevano la carta. Tuttavia, TME non è stata in grado di fornire la documentazione che conferma la verifica dell'identità della terza persona il 7 gennaio.
L'AEPD ha rilevato che TME ha violato l'articolo 6, paragrafo 1, del regolamento generale sulla protezione dei dati (GDPR) rilasciando la carta SIM a un terzo non autorizzato senza una sufficiente verifica dell'identità. Il fatto che l'incidente sia stato causato da un comportamento fraudolento da parte di un terzo non impedisce che ciò avvenga. A TME sarà inflitta una multa di 200.000 euro.
5 Vodafone España, Spagna: 200.000 euro
Un privato ha ricevuto ripetutamente chiamate pubblicitarie non autorizzate da numeri Vodafone, nonostante il suo numero sia inserito nella lista Robinson per la prevenzione delle chiamate pubblicitarie.
Vodafone ha spiegato che le chiamate non provenivano dai suoi partner autorizzati e che i numeri di telefono in questione erano gestiti da terzi. Inoltre, Vodafone ha informato l'Agenzia spagnola per la protezione dei dati (AEPD) di aver interrotto la collaborazione con i partner che avevano ripetutamente violato le norme sulla protezione dei dati e di aver adottato misure per identificare meglio i numeri di telefono.
Nel corso dell'indagine, tuttavia, l'AEPD ha riscontrato che Vodafone ha violato l'articolo 58, paragrafo 1, del Regolamento generale sulla protezione dei dati (GDPR) non avendo fornito le informazioni necessarie per indagare sulle chiamate. L'azienda è stata multata di 200.000 euro per insufficiente collaborazione e mancata fornitura delle informazioni necessarie nell'ambito di un'indagine sulla protezione dei dati.
German 
English 
Italian 
French