L'anno 2025 inizia con le settimane spagnole: Nel gennaio 2025 nessuna autorità per la protezione dei dati nell'UE ha emesso un numero così elevato di multe come l'Agencia Española de Protección de Datos (AEPD). Due multe elevate sono state comminate per l'uso di sistemi biometrici di riconoscimento facciale. Una nuova tendenza? Il gigante della telefonia mobile Vodafone ci riprova. L'azienda non sembra essere in grado di controllare gli illeciti dei singoli dipendenti.
Generali España: 4 milioni di euro (Spagna)
L'Autorità spagnola per la protezione dei dati personali Agenzia spagnola di protezione dei dati (AEPD) ha un Procedimento di ammenda contro Generali España, Sociedad Anónima de Seguros y Reaseguros è stato inaugurato il 5 ottobre 2022 dopo un Incidente di sicurezza è stato rilevato. L'incidente ha coinvolto un Attacco di forza bruta al sistema di gestione dei dati dei clienti di Generali. Utilizzando impropriamente i dati di accesso di un broker assicurativo, persone non autorizzate hanno avuto accesso a Dati personali da clienti ed ex clienti. Solo l'11 novembre 2022 è stato reso noto che un Database con dati di ex-clienti in vendita in un forum di Telegram è stato offerto. Ciò ha interessato i dati di un totale di oltre 1,6 milioni di persone colpiti. I dati in questione sono stati Nomi, indirizzi, numeri di telefono, date di nascita, numeri di carta d'identità (DNI) e numeri di conto IBAN.
Generali ha informato gli interessati tra il 15 e il 28 novembre 2022 per e-mail o per posta sull'incidente. Per Parti interessatei cui dati di contatto non erano disponibili, un Annuncio pubblico sul sito web pubblicato. Nel corso dell'indagine è emerso che Generali Assenza di misure tecniche e organizzative adeguate per proteggere i dati. In particolare, non c'era Valutazione del rischio e un Valutazione dell'impatto sulla protezione dei dati per le applicazioni interessate. Inoltre, i broker assicurativi avevano continuare ad avere accesso ai dati degli ex clientiche viola il principio di protezione dei dati di Minimizzazione dei dati violato. I protocolli per la Tracciabilità degli accessi ai dati in questione.
Secondo l'AEPD, Generali ha violato diversi articoli del Codice Civile. GDPR:
- Articolo 5, comma 1, lettera f GDPRViolazione del Principio di riservatezza a causa di un accesso non autorizzato a Dati personali.
- Articolo 25 GDPRMancante Misure di protezione dei dati fin dall'inizio (privacy by design).
- Articolo 32 GDPR: Misure di sicurezza inadeguate per prevenire le violazioni dei dati.
- Articolo 35 GDPR: Mancante Valutazione dell'impatto sulla protezione dei dati per l'elaborazione di dati particolarmente rischiosi.
A causa della gravità dei reati, una Fine per un totale di 4 milioni di euro.
Sambla Group Oy: 950.000 euro (Finlandia)
Il Autorità finlandese per la protezione dei dati Tietosuojavaltuutetun toimisto ha contro Gruppo Sambla Oy a Procedimento di ammenda avviata dopo la 23 dicembre 2022 uno Reclamo ricevuto. Il Reclamo riguardava l'inadeguatezza Sicurezza dei dati con le piattaforme di mediazione creditizia online lainaparkki.fi e rahoitu.fi.
È stato stabilito che il i dati personali dei potenziali mutuatari erano accessibili tramite collegamenti URL individuali ma non sicuri. Questi collegamenti erano facili da indovinare, così che Terza parte con la conoscenza della struttura sensibile Dati personali poteva accedere.
Su 25 marzo 2024 l'autorità di protezione dei dati ha imposto un ordinanza provvisoriache Sambla Group Oy ha vietato, Dati personali di potenziali mutuatari attraverso link URL non sicuri. L'autorità ha rilevato che in questi moduli di credito Informazioni sensibili come nome e cognome, data di nascita, numero personale, indirizzo e-mail, numero di telefono, indirizzo, reddito, occupazione e informazioni sul credito. È stato documentato che Decine di migliaia di accessi non autorizzati a questi dati in parte con l'ausilio di sistemi automatizzati Attacchi di forza bruta o attraverso Indicizzazione da parte dei motori di ricerca come Google.
L'autorità per la protezione dei dati ha valutato il comportamento di Sambla Group Oy come Violazione contro diversi articoli del GDPRin particolare:
- Articolo 5.1(f) GDPRViolazione del principio di Riservatezza e Integrità.
- Articolo 25 GDPRMancante Misure di protezione dei dati fin dall'inizio (privacy by design).
- Articolo 32 GDPR: Misure di sicurezza inadeguate per prevenire le violazioni dei dati.
Sebbene l'azienda abbia successivamente adottato misure come la Disattivazione dei link non sicuriche Introduzione dell'autenticazione a due fattori e il Riduzione del periodo di validità dei link URL, l'autorità ha valutato queste misure come troppo tardi e insufficiente. La violazione dei dati riguardava un un gran numero di persone e Sambla Group Oy avrebbero deve reagire prima.
Suggerimento di lettura: Le multe più alte nel dicembre 2024
Il Fine è stato autorizzato dal Garante per la protezione dei dati 950.000 euro è stata determinata. La giustificazione della sanzione era basata sulla Gravità del reatoche Durata del problema (per diversi anni) e il Mancanza di iniziativa dell'azienda per correggere i problemi di protezione dei dati.
Fonte: Avviso di multa da parte della Tietosuojavaltuutetun toimisto ha contro Gruppo Sambla Oy
Cartonajes Bañeres, S.A.: 220.000 euro (Spagna)
L'Autorità spagnola per la protezione dei dati personali Agenzia spagnola di protezione dei dati (AEPD) ha un Procedimento di ammenda contro Cartonajes Bañeres, S.A. avviato dopo che un ex dipendente dell'azienda 11 ottobre 2022 uno Reclamo presentato. Il Reclamo ha fatto riferimento all'uso di un sistema di riconoscimento biometrico per la registrazione dell'orario di lavoro, in cui il Scansione dei volti dei dipendenti sono stati fatti. Il dipendente ha espresso preoccupazioni in merito alla Memorizzazione dei dati biometrici espresso. Ha inoltre richiesto accesso ai propri dati personali il 29 agosto 2022tuttavia, ha ricevuto dall'azienda Nessuna risposta appropriata.
Nel corso delle indagini è emerso che Cartonajes Bañeres era un Sistema di riconoscimento dei volti per il Foglio di presenza usato. L'azienda ha negato che Scatti del viso sono stati immagazzinati. Tuttavia, ha spiegato che un algoritmo cattura alcune caratteristiche del viso e questi come hash biometrico negozi. Questi Valori di hash sono stati poi confrontati con un database per identificare il dipendente. Secondo l'AEPD, questa tecnologia rappresenta una Altamente sensibile Elaborazione dati biometrici rappresentare.
Inoltre, è stato determinato che la richiesta di informazioni dell'ex dipendente non è stata elaborata correttamente. Sebbene l'azienda abbia affermato che una risposta via fax è stato inviato, ma l'indirizzo era non correttoe il richiedente non ha ricevuto informazioni complete sulla dati biometrici memorizzati.
L'AEPD ha riscontrato che Cartonajes Bañeres aveva violato diverse Articolo del GDPR è stato violato:
- Articolo 35 GDPRIl richiesto Valutazione dell'impatto sulla protezione dei dati per l'utilizzo dei dati biometrici non è stato effettuato.
- Articolo 12 GDPRIl Richiesta di accesso del dipendente non è stato elaborato correttamente, causando un Violazione contro il Diritti degli interessati rappresenta.
L'AEPD ha quindi imposto un Fineper un importo di 220.000 euro contro Cartonajes Bañeres, suddiviso in:
- 200.000 euro per il Violazione contro l'articolo 35 GDPR (nessuno) Valutazione dell'impatto sulla protezione dei dati).
- 20.000 euro per il Violazione contro l'articolo 12 GDPR (risposta inadeguata alla richiesta di accesso ai dati).
Club Atlético Osasuna: 200.000 euro (Spagna)
Il Agenzia spagnola di protezione dei dati (AEPD) ha Procedimento di ammenda contro il Club Atlético Osasuna avviata dopo la 22 novembre 2022 uno Reclamo erano state ricevute. Il Reclamo era diretto contro l'introduzione di un sistema biometrico di riconoscimento facciale (SBRF) al Controllo degli accessi di sistema nello stadio El Sadarche è Aprile 2022 è stato introdotto. Secondo il Reclamo il sistema ha limitato il Diritti e libertà fondamentali dei visitatori dello stadio in modo sproporzionato, anche se era stato dato il consenso all'uso.
Con il Indagine dall'AEPD, si è scoperto che il sistema è stato sviluppato in collaborazione con La Liga e le aziende tecnologiche DAS-GATE e VERIDAS è stato sviluppato. Il suo scopo era quello di facilitare l'accesso allo stadio ai possessori di abbonamenti attraverso il riconoscimento facciale, ma è rimasto un Opzione volontariache potrebbe ancora essere utilizzato insieme alla tessera fisica o all'accesso digitale tramite smartphone.
È stato inoltre notato che Osasuna ha un Valutazione dell'impatto sulla protezione dei dati aveva effettuato al fine di Base giuridica per il Elaborazione dati biometrici per legittimare il sistema. Il club ha sostenuto che il sistema su base volontaria e che le persone interessate abbiano un consenso espresso al Elaborazione dei loro dati biometrici. Il sistema è anche sicuro, poiché non vengono utilizzate immagini, ma solo dati matematici. vettori biometrici verrebbe memorizzato.
L'AEPD ha rilevato che il Necessità e proporzionalità della misura era discutibile. Anche se il sistema è considerato volontario l'autorità ha osservato che potrebbe esserci una certa pressione sociale o psicologica, soprattutto perché il club pubblicizzava il sistema come un'alternativa "più veloce e più conveniente". L'AEPD ha anche fatto riferimento a mancanza di Trasparenza informazioni alle persone interessate e al Mancanza di una chiara base giuridica per l'utilizzo di tali tecnologie negli stadi di calcio.
L'Osasuna è stato infine nominato per il Uso illegale del riconoscimento biometrico del volto al Controllo degli accessi di sistema con un Fine sanzionato per un importo di 200.000 euro. Secondo il parere dell'AEPD, la Base giuridica discutibile e la misura viola il principio di Minimizzazione dei dati e necessità. Nella sua decisione, l'AEPD sottolinea che l'uso di sistemi di riconoscimento facciale deve soddisfare requisiti particolarmente severi per garantire i diritti degli interessati.
Vodafone España: 200.000 euro (Spagna)
Il Agenzia spagnola di protezione dei dati (AEPD) ha un Procedimento di ammenda contro Vodafone España, S.A.U. avviato dopo che un cliente su 7 marzo 2023 uno Reclamo presentato. Il Reclamo interessato a duplicazione non autorizzata della carta SIMpubblicato su 8 aprile 2022 è stata emessa senza il consenso della persona interessata. A seguito di questa frode d'identità, sono stati rilasciati Transazioni bancarie effettuate sul conto del cliente.
Secondo l'indagine dell'AEPD 8 aprile 2022 alle 19:47 è stato fatto un primo tentativo di sviluppare un Nuova carta SIM per il colpiti numero di cellulare. Questo tentativo è inizialmente fallito, ma già Cinque minuti dopo è stata presentata una nuova domanda, che è stata infine approvata. La carta SIM fraudolenta è stata emessa tramite una Call center Vodafone attivato, consentendo all'autore del reato di prendere il controllo del colpiti ricevuto un numero di telefono. Solo su 9 aprile 2022 alle 12:26 la carta SIM fraudolenta è stata annullata dopo che il Parti interessate Vodafone l'aveva informata che non aveva più accesso alla sua connessione cellulare.
L'AEPD ha rilevato che Vodafone non aveva applicato in modo coerente le proprie linee guida sulla sicurezzacome gli agenti dei call center sono in realtà non erano autorizzati ad approvare i duplicati delle SIM per i presunti dipendenti del negozio Vodafone. Questo indica un Negligenza nell'attuazione delle misure di sicurezza interne lì.
Inoltre, Vodafone aveva presentato Art. 6 comma 1 GDPR violato, poiché il Elaborazione dati personali del cliente senza il loro legittimo consenso. L'autorità ha quindi deciso, una sanzione pecuniaria di 200.000 euro di imporre una multa. L'AEPD non ha preso in considerazione la possibilità di ridurre la sanzione perché reati analoghi si era già verificato più volte in passato.
Correo Inteligente Postal, S.L.: 200.0000 euro (Spagna)
Il Agenzia spagnola di protezione dei dati (AEPD) ha un Procedimento di ammenda contro l'azienda Correo Inteligente Postal, S.L. (CI POSTAL) avviata dopo la 22 settembre 2022 il Polizia locale di Palma di Maiorca ha presentato un rapporto. Il rapporto ha rilevato che nel complesso 1.404 lettere con dati personali sono state trovate in un sito abbandonato. Le lettere provenivano da diverse aziende, tra cui La Caixa, BBVA, Endesa e Naturgye che avrebbero dovuto essere effettivamente distribuiti ai destinatari.
Un rappresentante di CI POSTALE ha riconosciuto il logo dell'azienda sulle lettere abbandonate e ha confermato che la spedizione era stata delegata a quattro dipendenti. Tuttavia, non è stato possibile determinare quali dipendenti fossero responsabili del mancato recapito.
Su 17 novembre 2022 è stato segnalato un altro incidente: Il Jefatura Superior de Policía de las Islas Baleares ha avuto luogo di nuovo 5.354 lettere non consegnateche erano state depositate in due diverse aree di Palma di Maiorca. Alcune lettere erano state aperte, mentre altre erano completamente intatte. Le lettere contenevano informazioni sensibili di banche, fornitori di energia e fornitori di telefonia mobile.
L'AEPD ha rilevato che CI POSTALE contro diversi articoli del Regolamento generale sulla protezione dei dati (GDPR) è stato violato:
- Articolo 5.1(f) GDPRL'azienda non ha adottato misure sufficienti per garantire che il Riservatezza e Integrità dei dati personali.
- Articolo 32 GDPR: Mancanza di misure di sicurezza ha comportato l'utilizzo di strumenti non autorizzati Terza parte su Dati personali poteva accedere.
L'AEPD ha imposto CI POSTALE a Fine da un totale di 200.000 euro. Inoltre, l'azienda è stata obbligata a sei mesi a Sistema di tracciamento e monitoraggio delle consegne di posta per garantire che le lettere vengano consegnate correttamente.
Reazione da parte di CI POSTAL: L'azienda ha licenziato i dipendenti interessati e ha effettuato corsi di formazione per evitare incidenti simili in futuro. Tuttavia, non è stato implementato alcun sistema tecnologico per garantire la tracciabilità delle spedizioni.
German 
English 
Italian 
French