Anche le autorità europee per la protezione dei dati hanno imposto multe per un totale di milioni nel dicembre 2024. Una multa è stata inflitta alla sola Meta Fine per un importo di 251 milioni di euro. La società di telefonia mobile Orange è stata multata per 50 milioni di euro. Alla società ChatGPT è stata inflitta una multa di 15 milioni di euro.
Meta Platforms Ireland Ltd.: 251 milioni di euro (Irlanda)
Il 17 dicembre 2024, la Commissione irlandese per la protezione dei dati (DPC) ha annunciato le sue decisioni finali su due indagini contro Meta Platforms Ireland Limited. Queste indagini sono state avviate dal DPC di propria iniziativa dopo che Meta ha segnalato una violazione dei dati personali nel settembre 2018. L'incidente ha interessato circa 29 milioni di account Facebook in tutto il mondo, tra cui circa 3 milioni di account di utenti dell'UE. I dati personali compromessi comprendevano nome e cognome, indirizzo e-mail, numero di telefono, ubicazione, luogo di lavoro, data di nascita, religione, sesso, post sulla timeline, appartenenze a gruppi e persino i dati dei bambini.
Il Violazione dei dati è stato causato dallo sfruttamento dei token utente da parte di persone non autorizzate. Terza parte sulla piattaforma Facebook. Meta e la sua società madre negli Stati Uniti hanno rettificato l'incidente poco dopo averlo scoperto. Tuttavia, a seguito di un'indagine approfondita, il DPC ha riscontrato diverse violazioni del Regolamento generale sulla protezione dei dati (GDPR) e imposto multe per un totale di 251 milioni di euro. I reati in dettaglio:
- Articolo 33, paragrafo 3 GDPR - Meta ha riportato un Violazione dei dati non ha fornito tutte le informazioni richieste da questo regolamento, anche se sarebbe stato possibile. Il DPC ha imposto una multa di 8 milioni di euro per questo.
- Articolo 33, paragrafo 5 GDPR - Meta non ha documentato adeguatamente i fatti di ciascun incidente e le azioni correttive intraprese per conformarsi alla normativa. Autorità di vigilanza per consentire la verifica della conformità. Per questo Violazione è stata comminata una multa di 3 milioni di euro.
- Articolo 25, paragrafo 1 GDPR - Meta non ha tenuto conto dei principi di protezione dei dati fin dalla fase di progettazione dei sistemi di elaborazione. Questo Violazione è stata sanzionata con una multa di 130 milioni di euro.
- Articolo 25, paragrafo 2 GDPR - Meta non ha adempiuto all'obbligo, in qualità di parte responsabile, di garantire che Dati personali trattati per impostazione predefinita solo per scopi specifici. Questo Violazione è stata sanzionata con una multa di 110 milioni di euro.
Fonte: Comunicazione della Commissione irlandese per la protezione dei dati
Orange SA: 50 milioni di euro (Francia)
L'autorità francese per la protezione dei dati "Commissione nazionale per l'informatica e le libertà"(CNIL) ha annunciato il 10 dicembre 2024 di aver avviato un procedimento contro il principale fornitore di telecomunicazioni francese Orange SA. Fine per un importo di 50 milioni di euro.
Nella sua indagine, la CNIL ha scoperto che Orange ha inserito nella casella di posta degli utenti annunci pubblicitari visivamente quasi indistinguibili dalle normali e-mail. Ai sensi dell'articolo L. 34-5 del CPCE, qualsiasi forma di pubblicità elettronica Pubblicità il precedente Consenso delle persone interessate. Questa pratica è stata Contraddizione la giurisprudenza della Corte di Giustizia Europea (CGUE), secondo la quale ogni Pubblicitàche appaiono nella casella di posta di un utente sono considerati come uso di e-mail a scopo pubblicitario e possono essere utilizzati solo con il consenso esplicito dell'utente. Consenso dell'utente. Sebbene Orange abbia interrotto questa pratica nel novembre 2023 e da allora abbia fornito un'etichettatura più chiara. Pubblicità la CNIL ha classificato la precedente implementazione come un'infrazione grave. Violazione a. Nel calcolare la multa si è tenuto conto dell'elevato numero di utenti interessati (oltre 7,8 milioni) e del beneficio finanziario che Orange ha ottenuto attraverso la vendita di spazi pubblicitari.
Inoltre, la CNIL ha riscontrato che i dati impostati dagli utenti Biscotti nonostante la cancellazione del Consenso continua ad essere letto da Orange. L'articolo 82 della legge francese sulla protezione dei dati (Loi Informatique et Libertés) stabilisce che l'archiviazione o l'ulteriore elaborazione delle informazioni sui dispositivi finali può avvenire solo previa autorizzazione esplicita di Orange. Consenso dell'utente e che questo Consenso deve essere revocabile in qualsiasi momento. Questa pratica non solo viola il rapporto di fiducia tra utente e fornitore, ma è anche in contrasto con il Contraddizione sui principi fondamentali del Regolamento generale sulla protezione dei dati (GDPR) e la legge sulla protezione dei dati (Loi Informatique et Libertés). La CNIL ha considerato la pratica di Orange come una chiara Violazione contro queste norme, in quanto gli utenti non potevano essere sicuri che i loro Revoca è stato tecnicamente implementato. La CNIL ha sottolineato che è responsabilità di Orange implementare soluzioni tecniche che impediscano la lettura dei dati. Biscotti dopo un Revoca prevenire. Con BiscottiL'azienda è responsabile di garantire che anche i partner di Orange adottino misure adeguate.
Oltre alla multa di 50 milioni di euro, la CNIL ha anche emesso un'ordinanza per bloccare la lettura non autorizzata di Biscotti entro tre mesi. È stata fissata una penale di 100.000 euro per ogni giorno di ritardo.
OpenAI: 15 milioni di euro (Italia)
Il Garante per la Protezione dei Dati Personali ha inflitto una multa di 15 milioni di euro a OpenAI, l'azienda che ha realizzato il chatbot ChatGPT supportato dall'intelligenza artificiale.
L'indagine è stata avviata nel marzo 2023 dopo che l'autorità per la protezione dei dati ha riscontrato delle violazioni in relazione alla Elaborazione di dati personali da parte di OpenAI. Le accuse principali contro OpenAI comprendono:
- Mancata segnalazione di una violazione dei dati: OpenAI aveva notificato all'autorità una violazione dei dati avvenuta nel marzo 2023. Violazione dei dati non correttamente segnalati.
- Base giuridica insufficiente per il trattamento dei dati (Violazione contro Articolo 6 GDPR): OpenAI ha Dati personali di utenti e non utenti per lo sviluppo e la formazione di ChatGPT senza un'adeguata base giuridica.
- Violazione contro il requisito di trasparenza: OpenAI non ha informato a sufficienza gli interessati in merito alla Elaborazione dei loro dati, come richiesto dagli artt. 12 e 13 GDPR prescrivere.
- Verifica dell'età mancante (Violazione contro l'art. 8 GDPR): La mancanza di verifica dell'età ha fatto sì che i bambini sotto i 13 anni fossero esposti a contenuti potenzialmente inadatti.
L'autorità italiana per la protezione dei dati non solo ha imposto una Fine 15 milioni di euro, ma si è anche avvalsa per la prima volta dei poteri previsti dall'art. 166 del Codice della Privacy. OpenAI è stata obbligata a realizzare un'ampia campagna informativa attraverso radio, televisione, stampa e Internet. L'obiettivo di questa misura è quello di informare il pubblico sul funzionamento di ChatGPT, sulle modalità di raccolta dei dati e sui diritti delle persone interessate. La campagna, della durata di sei mesi, ha lo scopo di informare gli utenti e i non utenti su come possono esercitare i loro diritti di Contraddizione, Cancellazione e Correzione in conformità al Regolamento generale sulla protezione dei dati.
Poiché OpenAI ha ora la sua sede europea in Irlanda, il procedimento è stato trasferito all'autorità irlandese per la protezione dei dati, che è ora l'autorità principale. Autorità di vigilanza svolge ulteriori indagini.
Fonte: Avviso di multa Garante per la Protezione dei Dati Personali contro OpenAI
Netflix International BV: 4,75 milioni di euro (Paesi Bassi)
L'autorità olandese per la protezione dei dati personali Autoriteit Persoonsgegevens (AP) ha avviato un procedimento contro Netflix International B.V. Fine per un importo di 4,75 milioni di euro. Il servizio di streaming è stato multato per diverse violazioni del Regolamento generale sulla protezione dei dati (GDPR) penalizzato, tra l'altro, per la mancanza di Trasparenza nella sua politica sulla privacy e il mancato adempimento Obbligo di informazione nel rispondere alle richieste di informazioni.
Netflix è stata criticata per non aver fornito sufficienti informazioni nella sua politica sulla privacy circa gli scopi e le modalità di utilizzo. Base giuridica del trattamento dei dati. Anche le informazioni sui destinatari dei dati personali, sui periodi di conservazione e sul trasferimento internazionale dei dati erano incomplete. Inoltre, Netflix non ha risposto alle richieste di informazioni dei clienti con sufficiente specificità. Queste violazioni riguardano gli articoli 12, 13 e 15 del Regolamento generale sulla protezione dei dati, che obbligano le aziende a farlo, Dati personali in modo trasparente, comprensibile e accessibile.
L'indagine è stata avviata dopo che l'organizzazione "None Of Your Business" (NOYB) ha presentato reclami per conto degli interessati. NOYB ha criticato Netflix per non aver fornito informazioni dettagliate sulle finalità del trattamento dei dati, sulle categorie di dati interessati o sui destinatari quando ha risposto alle richieste di informazioni. Queste lacune hanno ostacolato l'esercizio dei diritti degli interessati, come quello di Cancellazione o il diritto di opporsi.
Nella sua decisione pubblicata il 18 dicembre 2024, il GEPD ha rilevato che le violazioni potrebbero avere un impatto significativo sui diritti e le libertà degli interessati, poiché Netflix ha milioni di utenti in tutto il mondo, una percentuale significativa dei quali risiede nell'Unione europea. Tuttavia, a Netflix è stato riconosciuto il merito di aver rivisto e migliorato la propria informativa sulla privacy più volte nel corso del procedimento. Tuttavia, le modifiche apportate sono state ritenute insufficienti per soddisfare pienamente i requisiti del Regolamento generale sulla protezione dei dati.
L'ammenda inflitta tiene conto sia della gravità delle infrazioni che della posizione di mercato di Netflix. L'AP ha sottolineato che Trasparenza e la protezione dei dati personali sono i pilastri fondamentali della GDPR e le violazioni di questi principi non possono essere tollerate. Inoltre, la sanzione ha anche lo scopo di avere un effetto deterrente per garantire il rispetto delle norme sulla protezione dei dati. Netflix ha presentato ricorso contro la Fine Ricorso in appello presentato.
Fonte: Avviso di multa dell'Autoriteit Persoonsgegevens contro Netflix
Telefonica des España: 1,3 milioni di euro (Spagna)
L'autorità spagnola per la protezione dei dati Agencia Española de Protección de Datos (AEPD) ha imposto una multa di 1,3 milioni di euro a Telefónica dopo che i dati personali dei suoi clienti sono stati messi a rischio da una violazione della sicurezza. Nel settembre 2022, la società di telefonia mobile ha scoperto un incidente di sicurezza in cui ignoti avevano utilizzato i dati di accesso dei dipendenti per infiltrarsi nella rete aziendale al fine di rubare i dati.
L'indagine ha rivelato che la violazione della sicurezza ha interessato 1.021.253 persone, tra cui i clienti delle filiali Movistar e O2. L'AEPD ha rilevato l'inadeguatezza delle misure tecniche e organizzative per la protezione dei dati raccolti. Queste avrebbero potuto evitare l'errore. Ad esempio, il nome utente e la password erano sufficienti per accedere con successo alla rete aziendale.
Il Fine è costituito da due sanzioni: 500.000 euro per la Violazione contro l'art. 5 par. 1 lett. f GDPR e 800.000 euro per il Violazione contro l'art. 32 GDPR.
Fonte: Multa inflitta a Telefonica dalla Agencia Española de Protección de Datos
German 
English 
Italian 
French