Con l'imposizione di multe milionarie a grandi aziende statunitensi, a settembre le autorità per la protezione dei dati dell'UE hanno preso posizione: quali sono le norme GDPR violate da Meta e Clearview AI e cosa possono imparare le altre aziende.
1. Meta Platforms Ireland Ltd: 91 milioni di euro (Irlanda)
La Commissione irlandese per la protezione dei dati (DPC) ha imposto una multa di 91 milioni di euro a Meta Platforms Ireland Limited (MPIL) il 26 settembre 2024.
Nel marzo 2019, MPIL ha informato il DPC che le password degli utenti dei social media erano state inavvertitamente memorizzate in chiaro. Le password non erano né criptate né altrimenti protette da crittografia. Non autorizzato Terza parte non aveva accesso alle password.
L'incidente ha dato il via a un'indagine da parte del DPC. Questa si è concentrata sulla questione se MPIL fosse coinvolta nel Elaborazione delle password degli utenti e se l'azienda avesse preso le opportune precauzioni di sicurezza per adempiere agli obblighi previsti dalla legge. GDPR in particolare per quanto riguarda la Documentazione e la segnalazione delle violazioni dei dati.
L'indagine del DPC ha rivelato diverse violazioni delle norme di GDPR:
- Articolo 33, paragrafo 1 GDPR - MPIL non ha informato immediatamente il DPC della violazione dei dati in relazione alla memorizzazione delle password degli utenti in chiaro.
- Articolo 33, paragrafo 5 GDPR - MPIL non ha documentato adeguatamente la violazione dei dati in relazione alla memorizzazione delle password degli utenti in chiaro.
- Articolo 5, paragrafo 1, lettera f) GDPR - MPIL non ha adottato misure tecniche e organizzative adeguate per garantire la sicurezza delle password degli utenti, il che implica che la Integrità e Riservatezza dei dati è stata compromessa.
- Articolo 32, paragrafo 1 GDPR - Il MPIL non ha effettuato un'adeguata valutazione dei rischi.
Fonte: Comunicato stampa della DPC sulla multa inflitta a Meta Platforms Ireland Limited
2. Clearview AI: 30,5 milioni di euro (Paesi Bassi)
L'autorità olandese per la protezione dei dati "Autoriteit Persoonsgegevens" (AP) ha presentato una denuncia contro l'azienda statunitense Clearview AI Inc. Fine per un totale di 30,5 milioni di euro.
Clearview AI offre un software di riconoscimento facciale basato su un database di oltre 30 miliardi di persone. Foto basato. Questo Foto provengono da fonti pubbliche su Internet come social network, siti di notizie e database pubblici. Clearview AI utilizza questi dati per offrire vari servizi di identificazione personale.
Nella sua indagine, l'autorità per la protezione dei dati ha rilevato che Clearview AI Dati personali di persone residenti nei Paesi Bassi senza una base legale. In particolare, Clearview AI ha trattato i dati biometrici - una categoria particolarmente sensibile di dati personali - senza un'autorizzazione adeguata o una base legale.
Le violazioni di Clearview AI riguardano diverse disposizioni del Regolamento generale sulla protezione dei dati, tra cui
- Articoli 5 e 6 GDPRClearview AI ha Dati personali trattati senza una base giuridica. Ciò viola il principio di liceità, che mira a garantire che il trattamento dei dati sia effettuato senza base giuridica. Elaborazione solo su base autorizzata.
- Articolo 9 GDPRIl Elaborazione dati biometrici, come le immagini del viso, senza che sia Consenso o qualsiasi altra base giuridica viola il divieto di Elaborazione categorie particolari di dati personali.
- Articoli 12 e 14 GDPRClearview AI non ha informato a sufficienza le persone interessate in merito alla Elaborazione dei vostri dati personali. Obbligo di informazione sono una parte essenziale del GDPRa Trasparenza e per garantire i diritti degli interessati.
- Articolo 15 GDPRClearview AI non ha ottemperato alle richieste degli interessati di accedere ai dati memorizzati su di loro.
- Articolo 27 GDPRClearview AI non ha nominato un rappresentante nell'Unione Europea, sebbene ciò sia obbligatorio per le aziende che non hanno sede nell'UE ma che trattano dati di cittadini dell'UE.
L'ammenda è costituita dalle varie infrazioni contro la GDPR insieme. Oltre alle sanzioni finanziarie, Clearview AI è stata obbligata dall'AP a porre rimedio alle violazioni in corso. In particolare, ciò include la cessazione delle attività illegali di Elaborazione dati personali e la nomina di un rappresentante nell'Unione Europea.
Fonte: Avviso di multa da parte dell'Autoriteit Persoonsgegevens nei confronti di Clearview AI
3. TD Bank: 27.760.000 USD (USA)
L'11 settembre 2024, il Consumer Financial Protection Bureau (CFPB) ha emesso una notifica di sanzione contro TD Bank, N.A. per gravi violazioni del Fair Credit Reporting Act (FCRA) e del Consumer Financial Protection Act (CFPA). TD Bank è stata condannata a pagare una multa di 20 milioni di dollari. Inoltre, è stato riconosciuto un risarcimento di 7,76 milioni di dollari per colpiti consumatori.
Il rapporto di esame della CFPB ha evidenziato diverse violazioni da parte di TD Bank relative all'inadeguata elaborazione dei conti di prestito e di deposito. In particolare, le violazioni riguardavano la segnalazione incompleta o imprecisa di informazioni sul credito alle agenzie di rating del credito (CRA). Ciò ha avuto gravi conseguenze per i consumatori interessati.
Ad esempio, TD Bank non ha corretto tempestivamente informazioni errate o incomplete sui conti delle carte di credito dei consumatori. In alcuni casi, ciò ha fatto sì che consumatori che avevano pagato o saldato completamente i loro conti continuassero a essere indicati come inadempienti.La banca non ha inoltre condotto indagini adeguate e tempestive quando i consumatori hanno contestato le loro informazioni sul credito. Ciò riguardava sia le contestazioni dirette presentate dai consumatori stessi, sia quelle indirette presentate attraverso gli uffici di credito al consumo.Per molti conti di carte di credito, la banca ha riportato in modo errato la data della prima inadempienza, con il risultato che le voci negative sono rimaste sui rapporti di credito dei consumatori per un periodo più lungo del consentito.
Oltre a una multa civile di 20 milioni di dollari e a un risarcimento per i consumatori danneggiati per un totale di 7,76 milioni di dollari, a TD Bank sono state imposte ampie condizioni per migliorare i propri processi:
- La banca deve assicurarsi che le informazioni errate vengano corrette immediatamente.
- TD Bank deve rivedere le proprie politiche di gestione delle controversie per garantire che le indagini siano condotte entro i tempi previsti dalla legge.
- La banca deve presentare un piano di conformità completo con relazioni periodiche al Consiglio di amministrazione entro 90 giorni.
Fonte: Avviso di multa da parte del Consumer Financial Protection Bureau nei confronti di TD Bank
4° Enérgya-VM: 2,5 milioni di euro (Spagna)
L'autorità spagnola per la protezione dei dati "Agencia Española de Protección de Datos" (AEPD) ha presentato un reclamo contro Energya-VM Gestión de Energía, S.L.U. (di seguito "Energya-VM"). Fine per un importo di 2,5 milioni di euro.
Già nel 2019, Energya-VM era venuta a conoscenza di pratiche ingannevoli e potenzialmente illegali da parte del fornitore esterno di servizi Nivalco attraverso segnalazioni di terzi. Nivalco era stata incaricata da Energya-VM di acquisire nuovi clienti. È emerso che Nivalco Dati personalicompresi i dati bancari e altre informazioni sensibili, senza un'adeguata base giuridica, al fine di contattare potenziali clienti e convincerli a sottoscrivere un contratto con Energya-VM.
Nel corso dell'indagine, l'AEPD ha scoperto che Nivalco ha utilizzato i dati di potenziali clienti senza averli prima informati a sufficienza sul progetto. Elaborazione dei loro dati (Violazione contro l'articolo 13 GDPR).
Energya-VM è stata nominata responsabile del trattamento dei dati da parte di Nivalco in conformità con la normativa vigente. GDPR sebbene Nivalco agisse formalmente come trasformatore. L'AEPD ha sostenuto che Energya-VM esercitava un controllo sufficiente sulle attività di Nivalco per essere corresponsabile delle infrazioni.
Energya-VM è stata accusata di non aver adottato misure sufficienti per monitorare la conformità di Nivalco alle norme sulla protezione dei dati. Nonostante i ripetuti avvertimenti e gli audit interni, non sono state adottate misure efficaci per porre rimedio alle pratiche problematiche. Energya-VM non ha inoltre garantito che le persone interessate fossero informate in modo trasparente sulla Elaborazione dei vostri dati, in particolare quando venite contattati per la prima volta da Nivalco.
Oltre alla multa, è stato ordinato a Energya-VM di adottare misure immediate per migliorare le sue pratiche di protezione dei dati. Tali misure comprendono l'introduzione di controlli più severi sulle attività dei suoi fornitori di servizi.
Fonte: Avviso di multa Agencia Española de Protección de Datos contro Energya-VM
5. Cegedim Santé: 800.000 euro (Francia)
L'autorità francese per la protezione dei dati CNIL (Commissione nazionale per l'informatica e le libertà) ha inflitto una multa di 800.000 euro alla società Cegedim Santé con una decisione del 5 settembre 2024. La multa è il risultato di una serie di violazioni della protezione dei dati in relazione all'illecito Elaborazione più sensibile Dati sulla salute.
Cegedim Santé sviluppa e distribuisce soluzioni software per studi medici e centri sanitari per la gestione di appuntamenti, cartelle cliniche e prescrizioni.
Durante le ispezioni del 2021, la CNIL ha riscontrato che l'azienda Dati sulla salute e trattati senza la necessaria autorizzazione. I dati raccolti sono stati messi a disposizione da Cegedim Santé per l'elaborazione di studi e statistiche nel settore sanitario. Il Dati sulla salute non è stato anonimizzato, ma solo pseudonimizzato. Ciò significa che era tecnicamente possibile identificare nuovamente gli interessati, in particolare combinando dati provenienti da fonti diverse.
I dati trattati da Cegedim Santé comprendevano un'ampia gamma di informazioni sensibili, tra cui l'anno di nascita, il sesso, le allergie, l'anamnesi, l'altezza, il peso, le diagnosi, le prescrizioni, i certificati di inabilità al lavoro e i risultati delle analisi. Queste informazioni erano collegate da un identificativo unico che consentiva di seguire l'intera storia terapeutica di un paziente. Data la mole di dati e la possibilità di collegarli a fonti esterne, la CNIL ha riconosciuto un elevato rischio di reidentificazione dei pazienti.
La CNIL ha rilevato che i dati saranno trattati in questa forma non sufficientemente pseudonimizzata almeno fino al 2022. Poiché i dati sono sensibili Dati sulla salute la CNIL ha ritenuto che si trattasse di un reato particolarmente grave. Violazione contro la legge sulla protezione dei dati.
German 
English 
Italian 
French