L'anno 2025 inizia con le settimane spagnole: Nel gennaio 2025 nessuna autorità per la protezione dei dati nell'UE ha emesso un numero così elevato di multe come l'Agencia Española de Protección de Datos (AEPD). Due multe elevate sono state comminate per l'uso di sistemi biometrici di riconoscimento facciale. Una nuova tendenza? Il gigante della telefonia mobile Vodafone ci riprova. L'azienda non sembra essere in grado di controllare gli illeciti dei singoli dipendenti.
Generali España: 4 milioni di euro (Spagna)
L'Autorità spagnola per la protezione dei dati personali Agenzia spagnola di protezione dei dati (AEPD) ha un Procedimento di ammenda contro Generali España, Sociedad Anónima de Seguros y Reaseguros è stato inaugurato il 5 ottobre 2022 dopo un Incidente di sicurezza è stato rilevato. L'incidente ha coinvolto un Attacco di forza bruta al sistema di gestione dei dati dei clienti di Generali. Utilizzando impropriamente i dati di accesso di un broker assicurativo, persone non autorizzate hanno avuto accesso ai dati personali di clienti ed ex clienti. Solo l'11 novembre 2022 si è venuti a conoscenza del fatto che un Database con dati di ex-clienti in vendita in un forum di Telegram è stato offerto. Ciò ha interessato i dati di un totale di oltre 1,6 milioni di persone colpiti. I dati in questione sono stati Nomi, indirizzi, numeri di telefono, date di nascita, numeri di carta d'identità (DNI) e numeri di conto IBAN.
Generali ha informato gli interessati tra il 15 e il 28 novembre 2022 via e-mail o per posta sull'incidente. Per le persone colpite i cui recapiti non erano disponibili, è stato inviato un Annuncio pubblico sul sito web pubblicato. Nel corso dell'indagine è emerso che Generali Assenza di misure tecniche e organizzative adeguate per proteggere i dati. In particolare, non c'era Valutazione del rischio e un Valutazione dell'impatto sulla protezione dei dati per le applicazioni interessate. Inoltre, i broker assicurativi hanno continuare ad avere accesso ai dati degli ex clientiche viola il principio di protezione dei dati di Minimizzazione dei dati violato. I protocolli per la Tracciabilità degli accessi ai dati in questione.
Secondo l'AEPD, Generali ha violato diversi articoli del GDPR:
- Articolo 5 comma 1 lettera f GDPRViolazione del Principio di riservatezza attraverso l'accesso non autorizzato ai dati personali.
- Articolo 25 GDPRMancante Misure di protezione dei dati fin dall'inizio (privacy by design).
- Articolo 32 GDPR: Misure di sicurezza inadeguate per prevenire le violazioni dei dati.
- Articolo 35 GDPR: Mancanza di una valutazione d'impatto sulla protezione dei dati per l'elaborazione di dati particolarmente rischiosi.
A causa della gravità dei reati, è stata comminata una multa di 4 milioni di euro.
Sambla Group Oy: 950.000 euro (Finlandia)
Il Autorità finlandese per la protezione dei dati Tietosuojavaltuutetun toimisto ha contro Gruppo Sambla Oy a Procedimento di ammenda avviata dopo la 23 dicembre 2022 uno Reclamo è stato ricevuto. Il reclamo riguardava l'inadeguatezza Sicurezza dei dati con le piattaforme di mediazione creditizia online lainaparkki.fi e rahoitu.fi.
È stato stabilito che il i dati personali dei potenziali mutuatari erano accessibili tramite collegamenti URL individuali ma non sicuri. Questi collegamenti erano facili da indovinare, in modo che terze parti con conoscenza della struttura potessero accedere a Dati personali sensibili poteva accedere.
Su 25 marzo 2024 l'autorità di protezione dei dati ha imposto un ordinanza provvisoriache ha vietato a Sambla Group Oy di rendere accessibili i dati personali dei richiedenti il credito tramite link URL non sicuri. L'autorità ha rilevato che in questi moduli di credito Informazioni sensibili come nome e cognome, data di nascita, numero personale, indirizzo e-mail, numero di telefono, indirizzo, reddito, occupazione e informazioni sul credito. È stato documentato che Decine di migliaia di accessi non autorizzati a questi dati in parte con l'ausilio di sistemi automatizzati Attacchi di forza bruta o attraverso Indicizzazione da parte dei motori di ricerca come Google.
L'autorità per la protezione dei dati ha valutato il comportamento di Sambla Group Oy come Violazione di diversi articoli del GDPRin particolare:
- Articolo 5.1(f) GDPRViolazione del Principio di riservatezza e integrità.
- Articolo 25 GDPRMancante Misure di protezione dei dati fin dall'inizio (privacy by design).
- Articolo 32 GDPR: Misure di sicurezza inadeguate per prevenire le violazioni dei dati.
Sebbene l'azienda abbia successivamente adottato misure come la Disattivazione dei link non sicuriche Introduzione dell'autenticazione a due fattori e il Riduzione del periodo di validità dei link URL, l'autorità ha valutato queste misure come troppo tardi e insufficiente. La violazione dei dati riguardava un un gran numero di persone e Sambla Group Oy avrebbero deve reagire prima.
Suggerimento di lettura: Le multe più alte nel dicembre 2024
La multa è stata fissata dall'autorità per la protezione dei dati a 950.000 euro è stata determinata. La giustificazione della sanzione era basata sulla Gravità del reatoche Durata del problema (per diversi anni) e il Mancanza di iniziativa dell'azienda per correggere i problemi di protezione dei dati.
Fonte: Avviso di multa da parte della Tietosuojavaltuutetun toimisto ha contro Gruppo Sambla Oy
Cartonajes Bañeres, S.A.: 220.000 euro (Spagna)
L'Autorità spagnola per la protezione dei dati personali Agenzia spagnola di protezione dei dati (AEPD) ha un Procedimento di ammenda contro Cartonajes Bañeres, S.A. avviato dopo che un ex dipendente dell'azienda 11 ottobre 2022 uno Reclamo aveva presentato. La denuncia riguardava l'uso di un sistema di riconoscimento biometrico per la registrazione dell'orario di lavoro, in cui il Scansione dei volti dei dipendenti sono stati fatti. Il dipendente ha espresso preoccupazioni in merito alla Memorizzazione dei dati biometrici espresso. Ha inoltre richiesto accesso ai propri dati personali il 29 agosto 2022tuttavia, ha ricevuto dall'azienda Nessuna risposta appropriata.
Durante l'indagine è emerso che Cartonajes Bañeres era un Sistema di riconoscimento dei volti per il Foglio di presenza usato. L'azienda ha negato che Scatti del viso sono stati immagazzinati. Tuttavia, ha spiegato che un algoritmo cattura alcune caratteristiche del viso e questi come hash biometrico negozi. Questi Valori di hash sono stati poi confrontati con un database per identificare il dipendente. Secondo l'AEPD, questa tecnologia rappresenta una Trattamento altamente sensibile dei dati biometrici rappresentare.
Inoltre, è stato determinato che la richiesta di informazioni dell'ex dipendente non è stata elaborata correttamente. Sebbene l'azienda abbia affermato che una risposta via fax è stato inviato, ma l'indirizzo era non correttoe il richiedente non ha ricevuto informazioni complete sulla dati biometrici memorizzati.
L'AEPD ha riscontrato che Cartonajes Bañeres aveva violato diverse Articolo del GDPR è stato violato:
- Articolo 35 GDPRIl Valutazione d'impatto sulla protezione dei dati richiesta per l'utilizzo dei dati biometrici non è stato effettuato.
- Articolo 12 GDPRIl Richiesta di accesso del dipendente non è stato elaborato correttamente, il che costituisce un reato contro il Diritti degli interessati rappresenta.
L'AEPD ha quindi imposto una multa per un importo di 220.000 euro contro Cartonajes Bañeres, suddiviso in:
- 200.000 euro per il Violazione dell'articolo 35 del GDPR (nessuna valutazione d'impatto sulla protezione dei dati).
- 20.000 euro per il Violazione dell'articolo 12 del GDPR (risposta inadeguata alla richiesta di accesso ai dati).
Club Atlético Osasuna: 200.000 euro (Spagna)
Il Agenzia spagnola di protezione dei dati (AEPD) ha Procedimento di ammenda contro il Club Atlético Osasuna avviata dopo la 22 novembre 2022 uno Reclamo era stato ricevuto. Il reclamo era diretto contro l'introduzione di un sistema biometrico di riconoscimento facciale (SBRF) per il controllo degli accessi allo stadio El Sadarche è Aprile 2022 è stato introdotto. Secondo la denuncia, il sistema limitava la Diritti e libertà fondamentali dei visitatori dello stadio in modo sproporzionato, anche se era stato dato il consenso all'uso.
Con il Indagine dall'AEPD, si è scoperto che il sistema è stato sviluppato in collaborazione con La Liga e le aziende tecnologiche DAS-GATE e VERIDAS è stato sviluppato. Il suo scopo era quello di facilitare l'accesso allo stadio ai possessori di abbonamenti attraverso il riconoscimento facciale, ma è rimasto un Opzione volontariache potrebbe ancora essere utilizzato insieme alla tessera fisica o all'accesso digitale tramite smartphone.
È stato inoltre notato che Osasuna ha un Valutazione dell'impatto sulla protezione dei dati aveva effettuato al fine di Base giuridica per il trattamento dei dati biometrici per legittimare il sistema. Il club ha sostenuto che il sistema su base volontaria e che le persone interessate abbiano un consenso espresso per elaborare i loro dati biometrici. Il sistema è anche sicuro, poiché non vengono utilizzate immagini, ma solo dati matematici. vettori biometrici verrebbe memorizzato.
L'AEPD ha rilevato che il Necessità e proporzionalità della misura era discutibile. Anche se il sistema è considerato volontario l'autorità ha osservato che potrebbe esserci una certa pressione sociale o psicologica, soprattutto perché il club pubblicizzava il sistema come un'alternativa "più veloce e più conveniente". L'AEPD ha anche fatto riferimento a Mancanza di trasparenza informazioni alle persone interessate e al Mancanza di una chiara base giuridica per l'utilizzo di tali tecnologie negli stadi di calcio.
L'Osasuna è stato infine nominato per il Uso illegale del riconoscimento facciale biometrico nel controllo degli accessi è punito con una multa di 200.000 euro. Secondo il parere dell'AEPD, la Base giuridica discutibile e la misura viola il principio di Minimizzazione e necessità dei dati. Nella sua decisione, l'AEPD sottolinea che l'uso di sistemi di riconoscimento facciale deve soddisfare requisiti particolarmente severi per garantire i diritti degli interessati.
Vodafone España: 200.000 euro (Spagna)
Il Agenzia spagnola di protezione dei dati (AEPD) ha un Procedimento di ammenda contro Vodafone España, S.A.U. avviato dopo che un cliente su 7 marzo 2023 uno Reclamo aveva presentato. La denuncia riguardava un duplicazione non autorizzata della carta SIMpubblicato su 8 aprile 2022 è stata emessa senza il consenso della persona interessata. A seguito di questa frode d'identità, sono stati rilasciati Transazioni bancarie effettuate sul conto del cliente.
Secondo l'indagine dell'AEPD 8 aprile 2022 alle 19:47 è stato fatto un primo tentativo di sviluppare un Nuova carta SIM per il numero di cellulare in questione. Questo tentativo è inizialmente fallito, ma già Cinque minuti dopo è stata presentata una nuova domanda, che è stata infine approvata. La carta SIM fraudolenta è stata emessa tramite una Call center Vodafone che dava all'autore del reato il controllo del numero di telefono interessato. Solo su 9 aprile 2022 alle 12:26 la carta SIM fraudolenta è stata bloccata dopo che la vittima ha informato Vodafone di non avere più accesso alla sua connessione cellulare.
L'AEPD ha rilevato che Vodafone non aveva applicato in modo coerente le proprie linee guida sulla sicurezzacome gli agenti dei call center sono in realtà non erano autorizzati ad approvare i duplicati delle SIM per i presunti dipendenti del negozio Vodafone. Questo indica un Negligenza nell'attuazione delle misure di sicurezza interne lì.
Inoltre, Vodafone aveva presentato Art. 6 comma 1 GDPR violato, in quanto il trattamento dei dati personali del cliente senza il loro legittimo consenso. L'autorità ha quindi deciso, una sanzione pecuniaria di 200.000 euro di imporre una multa. L'AEPD non ha preso in considerazione la riduzione della sanzione perché reati analoghi si era già verificato più volte in passato.
Correo Inteligente Postal, S.L.: 200.0000 euro (Spagna)
Il Agenzia spagnola di protezione dei dati (AEPD) ha un Procedimento di ammenda contro l'azienda Correo Inteligente Postal, S.L. (CI POSTAL) avviata dopo la 22 settembre 2022 il Polizia locale di Palma di Maiorca ha presentato un rapporto. Il rapporto ha rilevato che nel complesso 1.404 lettere con dati personali sono state trovate in un sito abbandonato. Le lettere provenivano da diverse aziende, tra cui La Caixa, BBVA, Endesa e Naturgye che avrebbero dovuto essere effettivamente distribuiti ai destinatari.
Un rappresentante di CI POSTALE ha riconosciuto il logo dell'azienda sulle lettere abbandonate e ha confermato che la spedizione era stata delegata a quattro dipendenti. Tuttavia, non è stato possibile determinare quali dipendenti fossero responsabili del mancato recapito.
Su 17 novembre 2022 è stato segnalato un altro incidente: Il Jefatura Superior de Policía de las Islas Baleares ha avuto luogo di nuovo 5.354 lettere non consegnateche erano state depositate in due diverse aree di Palma di Maiorca. Alcune lettere erano state aperte, mentre altre erano completamente intatte. Le lettere contenevano informazioni sensibili di banche, fornitori di energia e fornitori di telefonia mobile.
L'AEPD ha rilevato che CI POSTALE ha violato diversi articoli del Regolamento generale sulla protezione dei dati (GDPR):
- Articolo 5.1(f) GDPRL'azienda non ha adottato misure sufficienti per garantire che il Riservatezza e Integrità dei dati personali.
- Articolo 32 GDPR: Mancanza di misure di sicurezza ha portato all'accesso ai dati personali da parte di terzi non autorizzati.
L'AEPD ha imposto CI POSTALE una multa per un totale di 200.000 euro. Inoltre, l'azienda è stata obbligata a sei mesi a Sistema di tracciamento e monitoraggio delle consegne di posta per garantire che le lettere vengano consegnate correttamente.
Reazione da parte di CI POSTAL: L'azienda ha licenziato i dipendenti interessati e ha effettuato corsi di formazione per evitare incidenti simili in futuro. Tuttavia, non è stato implementato alcun sistema tecnologico per garantire la tracciabilità delle spedizioni.