Dopo che l'autorità irlandese per la protezione dei dati DPC aveva già emesso un Fine 91 milioni di euro contro Meta, ha fatto seguito in ottobre quella contro LinkedIn: L'azienda di proprietà di Microsoft dovrà pagare 310 milioni di euro per gravi violazioni della protezione dei dati. Il commissario per la protezione dei dati del Regno Unito è stato particolarmente diligente nel mese di ottobre: la sua autorità per la protezione dei dati, l'ICO, è entrata due volte nella top 5 delle multe del GDPR.
1. LinkedIn Ireland: 310 milioni di euro
Il 22 ottobre 2024, la Commissione irlandese per la protezione dei dati (DPC) ha emesso una decisione contro la rete aziendale LinkedIn, di proprietà di Microsoft. Fine per un importo di 310 milioni di euro. L'oggetto dell'indagine era il Elaborazione dati personali degli utenti di LinkedIn per analisi comportamentali e analisi mirate. Pubblicità.
L'indagine del DPC si è conclusa il 20 agosto 2018 a seguito di una Reclamo dell'organizzazione no-profit francese La Quadrature Du Net. Il Reclamo è stato prima depositato presso l'autorità francese per la protezione dei dati CNIL e poi sottoposto al DPC in qualità di autorità capofila. Autorità di vigilanza inoltrata per LinkedIn.
Secondo la dichiarazione del DPC, l'indagine ha riguardato "la legalità, l'equità e l'integrità del sistema di controllo dei dati". Trasparenza il Elaborazione i dati personali degli utenti della piattaforma LinkedIn ai fini dell'analisi comportamentale e di analisi mirate. Pubblicità". Il DPC ha rilevato che i dati personali in questione erano dati forniti direttamente a LinkedIn dai suoi membri (dati di prima parte) e dati raccolti da LinkedIn attraverso i suoi partner terzi in relazione ai suoi membri (dati di terzi).
Potete leggere ulteriori dettagli sulla multa record nel nostro articolo supplementare: LinkedIn multato per 310 milioni di euro
2. Servizio di polizia dell'Irlanda del Nord: 750.000 GPD (circa 890.000 euro)
L'Information Commissioner's Office (ICO) del Regno Unito ha multato il Police Service of Northern Ireland (PSNI) per 750.000 sterline (equivalenti a circa 890.000 euro) per una grave violazione della protezione dei dati. L'8 agosto 2023, i dati sono stati inavvertitamente Dati personali di circa 9.500 dipendenti della PSNI, compresi i numeri di matricola, i dipartimenti e le sedi, su un sito web pubblico. Questa pubblicazione rappresentava un grave rischio per i dipendenti interessati, in particolare per quelli che ricoprono ruoli segreti e sensibili alla sicurezza.
L'ICO ha riscontrato che il PSNI ha violato diversi articoli del GDPR britannico, in quanto l'autorità non ha adottato misure tecniche e organizzative adeguate per garantire la sicurezza dei dati. Il Violazione era dovuto a carenze nell'amministrazione interna e nella formazione per la gestione dei dati sensibili.
Nonostante le misure adottate dalla PSNI in seguito all'incidente, come l'istituzione di un processo di gestione delle minacce e il miglioramento delle politiche di sicurezza interne, l'ICO ha deciso che una multa era appropriata per sottolineare la gravità del reato e creare un deterrente per organizzazioni simili.
Fonte: Avviso di multa Information Commissioner's Office (pubblicato il 3 ottobre 2024)
3° Cosmospace: 250.000 euro E Telemaque: 150.000 euro
L'autorità francese per la protezione dei dati Commissione nazionale per l'informatica e le libertà (CNIL) ha imposto multe alle società Cosmospace (250.000 euro) e Telemaque (150.000 euro) per violazioni della protezione dei dati in relazione ai loro servizi di previsione. Diverse violazioni sono state individuate nel corso di un'indagine condotta nel 2021:
Cosmospace registrava sistematicamente tutte le conversazioni tra i clienti e le cartomanti, il che era eccessivo e sproporzionato secondo la CNIL. La CNIL ha ritenuto che una registrazione così completa non fosse necessaria e che dovesse essere limitata solo a determinate conversazioni a fini di controllo della qualità.
Cosmospace e Telemaque hanno inoltre conservato i dati dei clienti per un periodo eccessivamente lungo. Cosmospace ha conservato i dati per sei anni per uso commerciale, mentre TelemaqueE lo ha fatto senza limitare l'accesso ai dati o filtrarli di conseguenza.
Le due società hanno anche raccolto dati sensibili come informazioni sulla salute e sull'orientamento sessuale dei loro clienti senza ottenere un consenso esplicito.
Cosmospace ha inviato messaggi pubblicitari via SMS ed e-mail a persone senza ottenere il loro consenso inequivocabile. La CNIL ha riscontrato che il consenso non è stato ottenuto correttamente attraverso la società partner Telemaque.
L'importo della multa tiene conto della gravità delle infrazioni, dell'elevato numero di persone interessate (oltre 1,5 milioni di contatti) e della situazione finanziaria dell'azienda.
Fonte: Avviso di multa della CNIL (pubblicato il 10 ottobre 2024)
4. Ibercaja Banco, S.A: 180.000 euro
L'autorità spagnola per la protezione dei dati personali Agencia Española de Protección de Datos (AEPD) ha inflitto una multa di 300.000 euro a Ibercaja Banco con una decisione del 1° ottobre 2024. La società aveva avuto accesso illegalmente ai dati personali di un ex cliente dopo la cessazione di un rapporto contrattuale Il cliente aveva risolto il contratto nel febbraio 2022, ma Ibercaja aveva effettuato un totale di 47 ricerche dei suoi dati in un registro di valutazione del credito fino al gennaio 2023. Questi accessi sono stati effettuati senza una base giuridica valida, in quanto non vi era alcuna necessità contrattuale o legale.
Ibercaja ha accettato la decisione e si è avvalsa della facoltà di pagare e riconoscere volontariamente il debito, riducendo la multa a 180.000 euro. L'azienda si è inoltre impegnata ad adottare, entro sei mesi, misure volte a garantire il rispetto del
5. Quick Tax Claims Limited: 120.000 GBP (circa 143.400 euro)
L'autorità britannica per la protezione dei dati ICO ha imposto una multa di 120.000 sterline a Quick Tax Claims Limited (QTC). Il motivo è la violazione delle norme sulla protezione dei dati personali. La privacy e il regolamento sulle comunicazioni elettroniche (PECR). QTC ha inviato quasi 8 milioni di SMS di marketing non richiesti tra il 12 febbraio e il 12 maggio 2023 senza che i destinatari avessero dato un consenso valido. Oltre il 93% di questi messaggi non includeva un'opzione di annullamento dell'iscrizione, il che costituisce una violazione del PECR.
Un totale di 66.793 consumatori si è lamentato della campagna.
L'ICO ha rilevato che QTC ha acquistato i dati da fornitori terzi, ma i loro meccanismi di consenso non soddisfacevano i requisiti di legge. Inoltre, l'ICO ha riscontrato che QTC non aveva effettuato una due diligence sufficiente per garantire che i dati Consenso per il trattamento dei dati è stato debitamente autorizzato.
Fonte: Avviso di multa dell'Ufficio del Commissario per l'Informazione del 15 ottobre 2024
German 
English 
Italian 
French