Nel febbraio 2025, l'autorità spagnola per la protezione dei dati Agencia española protección datos ha nuovamente emesso numerose multe per violazioni del GDPR. Le cinque multe più alte per il GDPR sono state comminate tutte in Spagna. A febbraio hanno dominato le multe per misure di sicurezza mancanti o inadeguate.
Suggerimento di lettura: Le cinque multe più alte del GDPR nel gennaio 2025
Orange España, 1.200.000 euro (Spagna)
L'autorità spagnola per la protezione dei dati personali Agencia española protección datos (AEPD) ha inflitto una multa di 1,2 milioni di euro alla società di telefonia mobile Orange España, S.A.U.. Il motivo era il trattamento illecito dei dati in relazione all'emissione di duplicati di carte SIM. Un dipendente fraudolento di una società in franchising aveva creato una carta SIM senza l'autorizzazione di un cliente. In questo modo è stato possibile commettere frodi finanziarie attraverso i cosiddetti attacchi di SIM swapping. Il risultato è stato un furto di 9.000 euro dai conti del cliente. L'autorità ha riscontrato violazioni dell'art. 6 e dell'art. 25 del GDPR.
Orange ha sostenuto che si trattava di un caso di cattiva condotta individuale. L'autorità ha respinto questa tesi in quanto l'azienda non aveva adottato misure di protezione sufficienti. In particolare, è stato emesso un duplicato della carta SIM a terzi fraudolenti senza verificarne l'identità. A Orange è stato ordinato di adottare misure per verificare l'identità dei duplicati delle SIM entro sei mesi. Orange ha presentato ricorso, sostenendo che la sanzione era sproporzionata. L'autorità ha respinto il ricorso e ha confermato la decisione originale.
Caja Rural de Jaén, 400.000 euro (Spagna)
L'autorità spagnola per la protezione dei dati AEPD ha imposto una multa alla banca cooperativa Caja Rural de Jaén, Barcelona y Madrid S.C.C. per una massiccia violazione della protezione dei dati causata da un attacco informatico al sistema bancario online. Misure di sicurezza inadeguate hanno portato alla divulgazione non autorizzata di dati sensibili dei clienti e quindi alla violazione dell'art. 5 par. 1 lett. f, dell'art. 32 par. 1 e dell'art. 33 del GDPR.
La banca ha sostenuto che il suo fornitore di servizi informatici Rural Servicios Informáticos S.L. era responsabile. L'autorità ha respinto la richiesta, in quanto la banca è considerata responsabile della protezione dei dati. La multa è stata fissata a 500.000 euro e ha lo scopo di prevenire future infrazioni. La banca ha presentato ricorso e ha chiesto la riduzione o l'annullamento della multa. L'AEPD ha respinto il ricorso e ha sottolineato l'obbligo di garantire la sicurezza dei dati.
Dopo che la banca ha pagato senza ammettere la propria colpa, la multa originaria di 500.000 euro è stata ridotta a 400.000 euro.
Fonte: Ammenda inflitta dall'AEPD a Caja Rural de Jaén, Barcelona y Madrid S.C.C.
Línea Directa Aseguradora, 300.000 euro (Spagna)
L'autorità spagnola per la protezione dei dati AEPD ha inflitto una multa alla compagnia assicurativa Línea Directa Aseguradora S.A.. La compagnia aveva trattato illegalmente i dati dei clienti attraverso il suo intermediario assicurativo Majorel SP Solutions S.A.. Un dipendente di Majorel ha richiamato il punteggio del cliente dall'autorità stradale DGT senza il consenso esplicito del cliente. Per farlo, ha utilizzato dati personali come il numero della carta d'identità e la data di rilascio della patente di guida. Ha inoltre fornito un indirizzo e-mail di terzi per ottenere i dati di accesso alla richiesta.
L'azienda ha sostenuto che il cliente aveva implicitamente acconsentito alla richiesta. L'autorità di protezione dei dati si è opposta e ha riscontrato violazioni dell'art. 6 e dell'art. 28 del GDPR. Di conseguenza, ha imposto una multa di 300.000 euro. Inoltre, Línea Directa è stata obbligata ad adottare misure per conformarsi alle norme sulla protezione dei dati.
Fonte: Ammenda inflitta dall'AEPD a Línea Directa Aseguradora S.A.
Atrium Lex SFC S.L., 100.000 euro (Spagna)
L'autorità spagnola per la protezione dei dati AEPD ha inflitto una multa al fornitore di servizi informatici Atrium Lex SFC S.L. per aver violato l'obbligo di fornire informazioni ai sensi dell'art. 13 GDPR e per non aver adottato misure di sicurezza ai sensi dell'art. 32 par. 1 GDPR. Un investitore aveva lamentato il fatto che la società avesse richiesto una copia della sua carta d'identità senza fornire informazioni sul trattamento dei dati. Atrium Lex ha affermato che tale richiesta era necessaria per la verifica dell'identità.
L'AEPD ha riscontrato che non sono state adottate misure di protezione dei dati sufficienti. In particolare, la trasmissione della copia della carta d'identità via e-mail è stata ritenuta insicura. L'autorità ha inflitto all'azienda due multe di 50.000 euro ciascuna. Le sanzioni si basano sulle informazioni inadeguate fornite agli interessati e sulle misure di sicurezza inadeguate. Atrium Lex è stata inoltre obbligata ad adottare misure di protezione dei dati entro sei mesi.
Fonte: Multa inflitta dall'AEPD ad Atrium Lex
Caja Rural de Extremadura, 88.000 euro (Spagna)
L'autorità spagnola per la protezione dei dati AEPD ha imposto una multa alla banca cooperativa Caja Rural de Extremadura S.C.C. per una violazione dei dati derivante da un attacco informatico al sistema bancario online. La vulnerabilità della sicurezza ha consentito l'accesso non autorizzato ai dati personali e finanziari dei clienti. L'AEPD ha riscontrato violazioni dell'art. 5 par. 1 lett. f e dell'art. 32 del GDPR.
Caja Rural de Extremadura ha presentato ricorso contro la decisione. Il suo fornitore di servizi informatici Rural Servicios Informáticos S.L. era responsabile delle misure di sicurezza. L'autorità ha respinto il ricorso, in quanto la banca è considerata il responsabile del trattamento dei dati. È stata inflitta una multa di 110.000 euro per prevenire future infrazioni. La banca ha quindi presentato ricorso chiedendo una riduzione o la cancellazione della multa. L'autorità per la protezione dei dati ha respinto il ricorso e ha sottolineato l'obbligo di garantire la sicurezza dei dati.
Dopo che la banca ha pagato senza ammettere la propria colpa, la multa originaria di 110.000 euro è stata ridotta a 88.000 euro.
Fonte: Ammenda inflitta dall'AEPD a Caja Rural de Extremadura S.C.C.
Italian 
German 
English 
French