Le cinque multe più alte del GDPR nell'ottobre 2024

Il commissario britannico per la protezione dei dati è stato particolarmente diligente nel mese di ottobre: per due volte è stato tra i più multati dal GDPR.
Categorie:

Dopo che l'autorità irlandese per la protezione dei dati DPC ha imposto una multa di 91 milioni di euro a Meta a settembre, ha seguito l'esempio di LinkedIn a ottobre: L'azienda di proprietà di Microsoft dovrà pagare 310 milioni di euro per gravi violazioni della protezione dei dati. Il commissario per la protezione dei dati del Regno Unito è stato particolarmente diligente nel mese di ottobre: la sua autorità per la protezione dei dati, l'ICO, è entrata due volte nella top 5 delle multe GDPR.

1. LinkedIn Ireland: 310 milioni di euro

La Commissione irlandese per la protezione dei dati (DPC) ha imposto una multa di 310 milioni di euro alla rete aziendale LinkedIn, di proprietà di Microsoft, con una decisione del 22 ottobre 2024. Oggetto dell'indagine è stato il trattamento dei dati personali degli utenti di LinkedIn per l'analisi comportamentale e la pubblicità mirata.

L'indagine del DPC è stata avviata il 20 agosto 2018 a seguito di un reclamo dell'organizzazione no-profit francese La Quadrature Du Net. Il reclamo è stato prima presentato all'autorità francese per la protezione dei dati CNIL e poi trasmesso al DPC in qualità di autorità di controllo principale per LinkedIn.

Secondo il DPC, l'indagine riguardava "la legittimità, la correttezza e la trasparenza del trattamento dei dati personali degli utenti della piattaforma LinkedIn ai fini dell'analisi comportamentale e della pubblicità mirata". Il DPC ha rilevato che i dati personali in questione erano dati forniti direttamente a LinkedIn dai suoi membri (dati di prima parte) e dati raccolti da LinkedIn attraverso i suoi partner terzi in relazione ai suoi membri (dati di terzi).

Potete leggere ulteriori dettagli sulla multa record nel nostro articolo supplementare: LinkedIn multato per 310 milioni di euro

2. Servizio di polizia dell'Irlanda del Nord: 750.000 GPD (circa 890.000 euro)

L'Information Commissioner's Office (ICO) del Regno Unito ha multato il Police Service of Northern Ireland (PSNI) per 750.000 sterline (equivalenti a circa 890.000 euro) per un'importante violazione della protezione dei dati. L'8 agosto 2023, i dati personali di circa 9.500 dipendenti del PSNI, compresi i numeri di matricola, i dipartimenti e le sedi, sono stati inavvertitamente pubblicati su un sito web pubblico. Questa pubblicazione ha rappresentato un grave rischio per i dipendenti interessati, in particolare per quelli che ricoprono ruoli classificati e sensibili alla sicurezza.

L'ICO ha riscontrato che il PSNI ha violato diversi articoli del Regolamento generale sulla protezione dei dati (GDPR) in quanto l'autorità non ha adottato misure tecniche e organizzative adeguate per garantire la sicurezza dei dati. La violazione era dovuta a carenze nella gestione interna e nella formazione per il trattamento dei dati sensibili.

Nonostante le misure adottate dalla PSNI in seguito all'incidente, come l'istituzione di un processo di gestione delle minacce e il miglioramento delle politiche di sicurezza interne, l'ICO ha deciso che una multa era appropriata per sottolineare la gravità del reato e creare un deterrente per organizzazioni simili.

Fonte: Avviso di multa Information Commissioner's Office (pubblicato il 3 ottobre 2024)

3° Cosmospace: 250.000 euro E Telemaque: 150.000 euro

L'autorità francese per la protezione dei dati, la Commission Nationale de l'Informatique et des Libertés (CNIL), ha inflitto multe alle società Cosmospace (250.000 euro) e Telemaque (150.000 euro) per violazioni della protezione dei dati in relazione ai loro servizi di cartomanzia. Diverse violazioni sono state individuate nel corso di un'indagine condotta nel 2021:

Cosmospace registrava sistematicamente tutte le conversazioni tra i clienti e le cartomanti, un'operazione eccessiva e sproporzionata secondo la CNIL. La CNIL ha ritenuto che una registrazione così completa non fosse necessaria e che dovesse essere limitata solo a determinate conversazioni a fini di controllo della qualità.

Cosmospace e Telemaque hanno inoltre conservato i dati dei clienti per un periodo di tempo eccessivo. Cosmospace ha conservato i dati per sei anni per uso commerciale, mentre TelemaqueE lo ha fatto senza limitare l'accesso ai dati o filtrarli di conseguenza.

Le due società hanno anche raccolto dati sensibili come informazioni sulla salute e sull'orientamento sessuale dei loro clienti senza ottenere un consenso esplicito.

Cosmospace ha inviato messaggi pubblicitari via SMS ed e-mail a persone senza ottenere il loro consenso inequivocabile. La CNIL ha riscontrato che il consenso non è stato ottenuto correttamente attraverso la società partner Telemaque.

L'importo della multa tiene conto della gravità delle infrazioni, dell'elevato numero di persone interessate (oltre 1,5 milioni di contatti) e della situazione finanziaria dell'azienda.

Fonte: Avviso di multa della CNIL (pubblicato il 10 ottobre 2024)

4. Ibercaja Banco, S.A: 180.000 euro

L'autorità spagnola per la protezione dei dati personali Agencia Española de Protección de Datos (AEPD) ha inflitto una multa di 300.000 euro a Ibercaja Banco con una decisione del 1° ottobre 2024. La società aveva avuto accesso illegalmente ai dati personali di un ex cliente dopo la cessazione di un rapporto contrattuale Il cliente aveva risolto il contratto nel febbraio 2022, ma Ibercaja aveva effettuato un totale di 47 ricerche dei suoi dati in un registro di valutazione del credito fino al gennaio 2023. Questi accessi sono stati effettuati senza una base giuridica valida, in quanto non vi era alcuna necessità contrattuale o legale.

Ibercaja ha accettato la decisione e si è avvalsa della facoltà di pagare e riconoscere volontariamente il debito, riducendo la multa a 180.000 euro. L'azienda si è inoltre impegnata ad adottare, entro sei mesi, misure volte a garantire il rispetto del

Fonte: Avviso di multa dell'AEPD del 1° ottobre 2024

5. Quick Tax Claims Limited: 120.000 GBP (circa 143.400 euro)

L'autorità britannica per la protezione dei dati ICO ha imposto una multa di 120.000 sterline a Quick Tax Claims Limited (QTC). La multa è stata comminata a causa di violazioni del Privacy and Electronic Communications Regulations (PECR). QTC ha inviato quasi 8 milioni di SMS di marketing non richiesti tra il 12 febbraio e il 12 maggio 2023 senza il valido consenso dei destinatari. Oltre il 93% di questi messaggi non includeva un'opzione per annullare l'iscrizione, il che costituisce una violazione del PECR.

Un totale di 66.793 consumatori si è lamentato della campagna.

L'ICO ha rilevato che QTC si riforniva di dati da fornitori terzi, ma i loro meccanismi di consenso non soddisfacevano i requisiti legali. L'ICO ha inoltre rilevato che QTC non aveva effettuato sufficienti controlli di due diligence per garantire che il consenso al trattamento dei dati fosse stato dato correttamente.

Fonte: Avviso di multa dell'Ufficio del Commissario per l'Informazione datato 15 ottobre 2024

Tag:
Condividi questo post :
it_ITItalian