Nel novembre 2024 sono state inflitte multe per tre milioni di euro ad aziende di Spagna, Italia e Finlandia. In due casi, le autorità per la protezione dei dati hanno criticato il fatto che il principio della "privacy by design" è stato implementato solo in modo molto inadeguato nei processi di elaborazione dei dati. Come spesso accade, le multe offrono spunti interessanti per le aziende.
The Phone House Spagna: 6,5 milioni di euro (Spagna)
Il 14 aprile 2021, The Phone House Spain, S.L. (TPHS) ha segnalato una grave violazione dei dati all'autorità spagnola per la protezione dei dati personali Agencia Española de Protección de Datos (AEPD). Sono stati colpiti circa 13 milioni di record di dati. L'attacco è stato condotto utilizzando un ransomware (Babuk Locker) che ha crittografato i dati personali sensibili. I dati sono stati poi pubblicati sul dark web.
L'AEPD ha riscontrato una violazione dell'art. 5 par. 1 lett. f GDPR (integrità e riservatezza) e dell'art. 32 GDPR (misure tecniche e organizzative). Nello specifico, l'AEPD ha accusato la società di telefonia mobile di misure di sicurezza inadeguate, come regole di password insufficienti, misure di sicurezza di rete deboli e mancanza di controlli regolari.
The Phone House, invece, si è vista vittima di un sofisticato attacco informatico. L'azienda ha spiegato che anche le misure di sicurezza più avanzate potrebbero non aver offerto una protezione completa. Inoltre, la successiva pubblicazione dei dati sul dark web è sfuggita al suo controllo.
Ciononostante, l'AEPD ha imposto una multa di 6,5 milioni di euro. Nell'avviso di multa, l'AEPD ha giustificato tale decisione con l'inadeguata implementazione di misure di sicurezza preventive e con l'elevato numero di persone coinvolte. L'AEPD sottolinea il dovere delle aziende di implementare in modo proattivo misure di sicurezza adeguate ai rischi. L'AEPD ha respinto il ricorso contro la sentenza.
Fonte: Multa inflitta dall'Agencia Española de Protección de Datos a The Phone House
Fonte: Decisione dell'Agencia Española de Protección de Datos che respinge il ricorso di The Phone House
Foodinho: 5 milioni di euro (Italia)
Il procedimento è stato avviato dal tragico incidente di un autista morto durante una consegna per il servizio di consegna Foodinho. Dopo che il suo account è stato disattivato da un sistema automatico sulla piattaforma Glovo, il defunto ha ricevuto un messaggio inappropriato che lo escludeva dalla piattaforma per presunte violazioni del contratto. Il messaggio non solo ha suscitato scalpore nell'opinione pubblica, ma ha anche portato a indagini approfondite sulla protezione dei dati.
L'Autorità Garante per la protezione dei dati personali (GPDP) ha riscontrato, nel corso delle sue indagini, gravi carenze nel trattamento dei dati, che hanno riguardato non solo questo singolo caso, ma l'intera infrastruttura di trattamento dei dati di Foodinho. Particolare attenzione è stata rivolta al trattamento automatizzato dei dati e alla trasparenza delle condizioni di utilizzo. I dati personali di circa 35.000 conducenti registrati sono stati trattati illegalmente. In particolare, Foodinho ha utilizzato metodi di autenticazione biometrica senza chiarire e documentare sufficientemente la loro base giuridica.
In particolare, Foodinho ha utilizzato metodi di autenticazione biometrica senza chiarire e documentare sufficientemente la loro base giuridica. Anche l'"Excellence Score", un sistema di valutazione dei conducenti, si basava su un trattamento automatizzato dei dati che non era sufficientemente documentato né chiaramente spiegato agli utenti.
L'autorità per la protezione dei dati ha imposto una multa di cinque milioni di euro e ha richiesto ulteriori misure correttive. Ha sottolineato la necessità di integrare la protezione dei dati nei processi fin dall'inizio ("privacy by design").
Fonte: Avviso di multa del Garante per la protezione dei dati personali contro il Foodinho
Posti Jakelu Oy: 2,4 milioni di euro (Finlandia)
L'indagine è iniziata con le lamentele di alcuni utenti che lamentavano l'inoltro di documenti personali - tra cui fatture e cartelle cliniche sensibili - alla casella di posta digitale di OmaPosti senza il loro esplicito consenso. Alcuni utenti hanno dichiarato di non utilizzare attivamente il servizio o di rifiutare la comunicazione via posta digitale per motivi personali. L'Agenzia finlandese per la protezione dei dati Tietosuojavaltuutetun toimisto ha quindi avviato una revisione completa delle pratiche di trattamento dei dati della piattaforma postale Posti Jakelu Oy.
L'Autorità finlandese per la protezione dei dati ha riscontrato significative carenze nel trattamento dei dati che violano diverse disposizioni del Regolamento generale sulla protezione dei dati:
- Attivazione automatica di caselle di posta elettronica: Posti Jakelu Oy ha creato caselle di posta elettronica digitali per gli utenti senza ottenere il loro consenso esplicito. Ciò ha violato l'articolo 6 del GDPR, che richiede una chiara base giuridica per il trattamento dei dati personali.
- Mancanza di trasparenza: gli utenti non sono stati sufficientemente informati del fatto che i loro dati personali sarebbero stati trasferiti automaticamente alla cassetta postale digitale. Ciò violava gli articoli 12-14 del GDPR, che richiedono trasparenza e informazioni chiare per gli interessati.
- Mancanza di scelta: gli utenti non avevano la possibilità di rifiutare il servizio o di impedire il trasferimento dei loro dati. Ciò costituisce una violazione dei principi fondamentali del trattamento dei dati ai sensi dell'art. 5 del GDPR.
In particolare, l'attivazione automatica di caselle di posta elettronica digitali senza il consenso attivo degli utenti è stata classificata come una grave violazione. L'autorità ha chiarito che la creazione di una casella di posta elettronica digitale non era assolutamente necessaria per la fornitura di altri servizi e che pertanto non esisteva una base giuridica valida ai sensi dell'articolo 6 del GDPR.
Oltre a imporre una multa di 2,4 milioni di euro, l'Agenzia finlandese per la protezione dei dati ha ordinato a Posti Jakelu Oy di rivedere le proprie pratiche di trattamento dei dati per garantire la conformità al Regolamento generale sulla protezione dei dati. Tra i requisiti più importanti figurano
- Informazioni chiare e trasparenti per gli utenti, per dare loro la possibilità di acconsentire o opporsi al trattamento dei loro dati.
- Introduzione di misure tecniche e organizzative per garantire che i processi di trattamento dei dati siano conformi ai principi di "privacy by design" e "privacy by default".
- Assicurarsi che le caselle di posta elettronica siano attivate solo su esplicita richiesta degli utenti.
Fornitore di servizi nel settore della gestione dei crediti: 900.000 euro (Germania)
Il Commissario per la protezione dei dati e la libertà d'informazione di Amburgo (HmbBfDI) ha inflitto una multa di 900.000 euro a un'azienda del settore della gestione dei crediti. Il motivo: l'azienda aveva conservato dati personali senza una base legale per un massimo di cinque anni dopo la scadenza dei termini di cancellazione previsti dalla legge.
La violazione è stata individuata nell'ambito di un audit prioritario in cui l'HmbBfDI ha verificato la conformità al GDPR delle aziende leader del settore. Oltre alle indagini scritte, sono state effettuate anche ispezioni in loco. Mentre molte aziende hanno gestito in modo professionale i dati sensibili dei debitori e hanno apportato miglioramenti in termini di trasparenza e cancellazione dei dati, un'azienda ha mostrato carenze significative. Un numero a sei cifre di record di dati è rimasto memorizzato nonostante i termini di cancellazione scaduti, in violazione degli articoli 5(1)(a) e 6(1) del GDPR.
La società ha ammesso l'infrazione, ha collaborato alle indagini e ha accettato l'ammenda. Questa collaborazione è stata presa in considerazione nel calcolo dell'ammenda.
Thomas Fuchs, responsabile dell'HmbBfDI, ha sottolineato l'importanza di un concetto di cancellazione coerente per le aziende orientate ai dati. I dati devono essere cancellati al più tardi dopo un determinato periodo di tempo, per evitare violazioni del Regolamento generale sulla protezione dei dati.
Fonte: Comunicato stampa del Commissario di Amburgo per la protezione dei dati e la libertà di informazione
Vodafone España: 200.000 euro (Spagna)
L'autorità spagnola per la protezione dei dati Agencia Española de Protección de Datos (AEPD) ha imposto una multa di 200.000 euro a Vodafone Spagna per una violazione dell'articolo 6(1) del GDPR. Il caso riguardava una richiesta fraudolenta di una carta SIM aggiuntiva, autorizzata senza sufficienti controlli di sicurezza. Questo ha poi portato ad un accesso non autorizzato ai dati personali.
Il 1° dicembre 2022, una terza persona ha richiesto la consegna di una scheda SIM aggiuntiva da parte di Lowi, un marchio Vodafone, attraverso l'area privata dell'account del cliente in questione. È stato fornito un indirizzo di consegna diverso. Vodafone ha approvato la scheda e l'ha consegnata senza verificare sufficientemente l'identità del richiedente.
L'esame dell'AEPD ha rivelato che le procedure di sicurezza richieste non sono state pienamente attuate. Ad esempio, non è stata registrata la chiamata per verificare l'identità e altre misure di sicurezza non sono state adeguatamente documentate. La frode ha permesso all'autore di accedere a dati e conti sensibili del cliente interessato. Il 30 novembre 2022 c'erano già stati due tentativi falliti di cambiare l'indirizzo e-mail del cliente in questione, il che avrebbe potuto indicare un possibile tentativo di frode.
L'AEPD ha riscontrato che Vodafone ha violato l'articolo 6(1) del GDPR, in quanto i dati personali sono stati trattati senza una base giuridica valida e senza il consenso dell'interessato. Sebbene Vodafone avesse introdotto misure di sicurezza, l'AEPD ha ritenuto le misure adottate inadeguate e ha accusato l'azienda di mancanza di diligenza. La multa di 200.000 euro è stata fissata tenendo conto delle ripetute infrazioni di Vodafone in casi simili, al fine di ottenere un effetto deterrente. Il ricorso è stato respinto dall'AEPD.
Fonte: Avviso di multa dell'Agencia Española de Protección de Datos nei confronti di Vodafone España
Fonte: Avviso di rifiuto da parte della Agencia Española de Protección de Datos
Italian 
German 
English 
French