ThinkTank_Logo_nero
L'attesa è finita
Ailance™ ThinkTank è qui!

Multe GDPR nel dicembre 2024: sanzioni milionarie contro Meta, Orange, OpenAI, Netflix e Telefonica

Multe GDPR dicembre 2024
Categorie:

Anche le autorità europee per la protezione dei dati hanno imposto multe per milioni di euro nel dicembre 2024. Solo Meta è stata multata per 251 milioni di euro. La società di telefonia mobile Orange è stata multata per 50 milioni di euro. Alla società ChatGPT è stata inflitta una multa di 15 milioni di euro.

Meta Platforms Ireland Ltd.: 251 milioni di euro (Irlanda)

Il 17 dicembre 2024, la Commissione irlandese per la protezione dei dati (DPC) ha annunciato le sue decisioni finali su due indagini contro Meta Platforms Ireland Limited. Queste indagini sono state avviate dal DPC di propria iniziativa dopo che Meta ha segnalato una violazione dei dati personali nel settembre 2018. L'incidente ha interessato circa 29 milioni di account Facebook in tutto il mondo, tra cui circa 3 milioni di account di utenti dell'UE. I dati personali compromessi comprendevano nome e cognome, indirizzo e-mail, numero di telefono, ubicazione, luogo di lavoro, data di nascita, religione, sesso, post sulla timeline, appartenenze a gruppi e persino i dati dei bambini.

La violazione dei dati è stata causata dallo sfruttamento dei token degli utenti da parte di terzi non autorizzati sulla piattaforma di Facebook. Meta e la sua società madre negli Stati Uniti hanno rettificato l'incidente poco dopo la sua scoperta. Tuttavia, a seguito di un'indagine approfondita, il DPC ha riscontrato diverse violazioni del Regolamento generale sulla protezione dei dati (GDPR) e ha imposto multe per un totale di 251 milioni di euro. I reati in dettaglio:

  • Articolo 33(3) GDPR - Meta non ha fornito tutte le informazioni richieste da questa disposizione quando ha segnalato una violazione dei dati, anche se ciò sarebbe stato possibile. Il DPC ha imposto una multa di 8 milioni di euro per questo.
  • Articolo 33(5) GDPR - Meta non ha documentato adeguatamente i fatti di ciascun incidente e le misure correttive adottate per consentire all'autorità di vigilanza di verificare la conformità. Per questa infrazione è stata comminata una multa di 3 milioni di euro.
  • Articolo 25(1) GDPR - Meta non ha tenuto conto dei principi di protezione dei dati nella fase di progettazione dei sistemi di trattamento. Questo reato è stato punito con una multa di 130 milioni di euro.
  • Articolo 25(2) GDPR - Meta non ha adempiuto all'obbligo, in qualità di responsabile del trattamento, di garantire che i dati personali siano trattati solo per finalità specifiche per impostazione predefinita. Questa violazione è stata sanzionata con una multa di 110 milioni di euro.


Fonte:
Comunicazione della Commissione irlandese per la protezione dei dati

Orange SA: 50 milioni di euro (Francia)

L'autorità francese per la protezione dei dati "Commission Nationale de l'Informatique et des Libertés" (CNIL) ha annunciato il 10 dicembre 2024 di aver inflitto una multa di 50 milioni di euro al principale fornitore di telecomunicazioni francese Orange SA.

Nella sua indagine, la CNIL ha scoperto che Orange ha inserito nella casella di posta degli utenti annunci pubblicitari visivamente quasi indistinguibili dalle normali e-mail. Ai sensi dell'articolo L. 34-5 CPCE, per qualsiasi forma di pubblicità elettronica è necessario il consenso preventivo della persona interessata. Questa pratica era contraria alla giurisprudenza della Corte di giustizia europea (CGE), secondo la quale qualsiasi pubblicità che appare nella casella di posta di un utente è considerata un uso della posta elettronica a fini pubblicitari ed è consentita solo con il consenso esplicito dell'utente. Sebbene Orange abbia interrotto questa pratica nel novembre 2023 e da allora abbia utilizzato pubblicità più chiaramente etichettate, la CNIL ha classificato la precedente implementazione come una grave violazione. Nella valutazione della multa si è tenuto conto dell'elevato numero di utenti interessati (oltre 7,8 milioni) e del vantaggio finanziario che Orange ha ottenuto dalla vendita di spazi pubblicitari.

Inoltre, la CNIL ha rilevato che i cookie impostati dagli utenti continuavano a essere letti da Orange nonostante la revoca del consenso. L'articolo 82 della legge francese sulla protezione dei dati (Loi Informatique et Libertés) stabilisce che la memorizzazione o l'ulteriore trattamento delle informazioni sui dispositivi finali può avvenire solo con il consenso esplicito dell'utente e che tale consenso deve essere revocabile in qualsiasi momento. Questa pratica non solo viola il rapporto di fiducia tra utente e fornitore, ma è anche contraria ai principi fondamentali del Regolamento generale sulla protezione dei dati (GDPR) e della Legge sulla protezione dei dati (Loi Informatique et Libertés). La CNIL ha considerato la pratica di Orange come una chiara violazione di queste normative, in quanto gli utenti non potevano essere sicuri che la loro cancellazione fosse tecnicamente attuata. La CNIL ha sottolineato che è responsabilità di Orange implementare soluzioni tecniche che impediscano la lettura dei cookie dopo la loro revoca. Nel caso di cookie inseriti dai partner di Orange, l'azienda è responsabile di garantire che anche questi ultimi adottino misure adeguate.

Oltre alla multa di 50 milioni di euro, la CNIL ha anche emesso un ordine per fermare la lettura non autorizzata dei cookie entro tre mesi. È stata imposta una multa di 100.000 euro per ogni giorno di ritardo.

Fonte: Multa inflitta dalla CNIL a Orange SA.

OpenAI: 15 milioni di euro (Italia)

Il Garante per la Protezione dei Dati Personali ha inflitto una multa di 15 milioni di euro a OpenAI, l'azienda che ha realizzato il chatbot ChatGPT supportato dall'intelligenza artificiale.

L'indagine è stata avviata nel marzo 2023 dopo che l'autorità per la protezione dei dati ha riscontrato violazioni in relazione al trattamento dei dati personali da parte di OpenAI. Le accuse principali contro OpenAI comprendevano:

  1. Mancata segnalazione di una violazione dei dati: OpenAI non aveva notificato correttamente all'autorità una violazione dei dati avvenuta nel marzo 2023.
  2. Insufficiente base giuridica per il trattamento dei dati (violazione dell'articolo 6 GDPR): OpenAI ha trattato i dati personali di utenti e non utenti per lo sviluppo e la formazione di ChatGPT senza un'adeguata base giuridica.
  3. Violazione del requisito di trasparenza: OpenAI non ha informato sufficientemente gli interessati sul trattamento dei loro dati, come richiesto dagli artt. 12 e 13 del GDPR.
  4. Mancata verifica dell'età (violazione dell'art. 8 GDPR): La mancanza di verifica dell'età ha fatto sì che bambini di età inferiore ai 13 anni fossero esposti a contenuti potenzialmente inappropriati.


L'autorità italiana per la protezione dei dati non solo ha imposto una multa di 15 milioni di euro, ma si è anche avvalsa per la prima volta dei poteri previsti dall'art. 166 della legge italiana sulla protezione dei dati. OpenAI è stata obbligata a realizzare un'ampia campagna informativa attraverso radio, televisione, stampa e Internet. Lo scopo di questa misura è quello di informare il pubblico sul funzionamento di ChatGPT, sulle modalità di raccolta dei dati e sui diritti delle persone interessate. La campagna, della durata di sei mesi, ha lo scopo di informare gli utenti e i non utenti su come esercitare i loro diritti di opposizione, cancellazione e rettifica in conformità al Regolamento generale sulla protezione dei dati.

Poiché OpenAI ha ora la sua sede europea in Irlanda, il procedimento è stato trasmesso all'autorità irlandese per la protezione dei dati, che sta ora conducendo ulteriori indagini in qualità di autorità di controllo principale.

Fonte: Avviso di multa Garante per la Protezione dei Dati Personali contro OpenAI

Netflix International BV: 4,75 milioni di euro (Paesi Bassi)

L'autorità olandese per la protezione dei dati Autoriteit Persoonsgegevens (AP) ha multato Netflix International B.V. per 4,75 milioni di euro. Il servizio di streaming è stato sanzionato per diverse violazioni del Regolamento generale sulla protezione dei dati (GDPR), tra cui la mancanza di trasparenza nella sua politica sulla privacy e il mancato rispetto degli obblighi informativi nel rispondere alle richieste di informazioni.

Netflix è stata accusata di non aver fornito informazioni sufficienti sulle finalità e sulla base giuridica del trattamento dei dati nell'informativa sulla privacy dell'azienda. Anche le informazioni sui destinatari dei dati personali, sui periodi di conservazione e sul trasferimento internazionale dei dati erano incomplete. Inoltre, Netflix non ha risposto alle richieste di informazioni dei clienti con sufficiente specificità. Queste violazioni riguardano gli articoli 12, 13 e 15 del Regolamento generale sulla protezione dei dati, che obbligano le aziende a trattare i dati personali in modo trasparente, comprensibile e accessibile.

L'indagine è stata avviata dopo che l'organizzazione "None Of Your Business" (NOYB) ha presentato reclami per conto degli interessati. NOYB ha criticato Netflix per non aver fornito informazioni dettagliate sulle finalità del trattamento dei dati, sulle categorie di dati interessati o sui destinatari quando ha risposto alle richieste di informazioni. Queste lacune hanno ostacolato l'esercizio dei diritti degli interessati, come il diritto alla cancellazione o il diritto di opposizione.

Nella sua decisione pubblicata il 18 dicembre 2024, il GEPD ha rilevato che le violazioni potrebbero avere un impatto significativo sui diritti e le libertà degli interessati, poiché Netflix ha milioni di utenti in tutto il mondo, una percentuale significativa dei quali risiede nell'Unione europea. Tuttavia, a Netflix è stato riconosciuto il merito di aver rivisto e migliorato la propria informativa sulla privacy più volte nel corso del procedimento. Tuttavia, le modifiche apportate sono state ritenute insufficienti per soddisfare pienamente i requisiti del Regolamento generale sulla protezione dei dati.

L'ammenda inflitta tiene conto sia della gravità delle infrazioni sia della posizione di mercato di Netflix. L'AP ha sottolineato che la trasparenza e la protezione dei dati personali sono pilastri centrali del GDPR e che le violazioni di questi principi non possono essere tollerate. Inoltre, la sanzione ha anche lo scopo di avere un effetto deterrente per garantire il rispetto delle norme sulla protezione dei dati. Netflix ha presentato ricorso contro la multa.

Fonte: Avviso di multa dell'Autoriteit Persoonsgegevens contro Netflix

Telefonica des España: 1,3 milioni di euro (Spagna)

L'autorità spagnola per la protezione dei dati Agencia Española de Protección de Datos (AEPD) ha imposto una multa di 1,3 milioni di euro a Telefónica dopo che i dati personali dei suoi clienti sono stati messi a rischio da una violazione della sicurezza. Nel settembre 2022, la società di telefonia mobile ha scoperto un incidente di sicurezza in cui ignoti avevano utilizzato i dati di accesso dei dipendenti per infiltrarsi nella rete aziendale al fine di rubare i dati.

L'indagine ha rivelato che la violazione della sicurezza ha interessato 1.021.253 persone, tra cui i clienti delle filiali Movistar e O2. L'AEPD ha rilevato l'inadeguatezza delle misure tecniche e organizzative per la protezione dei dati raccolti. Queste avrebbero potuto evitare l'errore. Ad esempio, il nome utente e la password erano sufficienti per accedere con successo alla rete aziendale.

La multa consiste in due sanzioni: 500.000 euro per la violazione dell'art. 5 par. 1 lett. f GDPR e 800.000 euro per la violazione dell'art. 32 GDPR.

Fonte: Multa inflitta a Telefonica dalla Agencia Española de Protección de Datos

Una novità: il chatbot intelligente Ailance
Risposte alle vostre domande sulla protezione dei dati e sulla conformità e sulle soluzioni Ailance™ con un semplice clic. Questo è ora possibile grazie al nuovo chatbot di Ailance™.
Tag:
Condividi questo post :
it_ITItalian