Chiunque introduca sistemi di accesso biometrici deve fare attenzione: In Spagna, l'autorità per la protezione dei dati AEPD ha inflitto una multa salata all'associazione calcistica spagnola LALIGA perché non è stata effettuata una valutazione dell'impatto sulla protezione dei dati prima di utilizzare gli scanner per le impronte digitali. In Polonia, il ministro del digitale ha preso la torta: Con il condizionale d'obbligo, ha violato i principi fondamentali del GDPR; circa l'80% della popolazione polacca è interessata. Il ministro stesso se l'è cavata con poco, a differenza dello psot polacco. Per la prima volta, una multa proveniente dalla Corea del Sud è entrata nella classifica delle multe più alte del mese. Durante un attacco hacker a un tour operator, non solo sono stati rubati oltre 3 milioni di dati di clienti. Durante le indagini, i responsabili della protezione dei dati hanno scoperto che erano stati memorizzati circa tre milioni di dati non relativi ai clienti, anche se il termine era scaduto da tempo. La multa è stata di conseguenza elevata.
Poczta Polska S.A.: 6,44 milioni di euro (Polonia)
L'autorità polacca per la protezione dei dati Urząd Ochrony Danych Osobowych (UODO) ha imposto multe per 27.124.816 PLN (circa 6,44 milioni di euro) a Poczta Polska S.A. (Poste Polacche) e 100.000 PLN al Ministro della Digitalizzazione con una decisione del 18 marzo 2025. L'antefatto è il trasferimento e il trattamento illecito di dati personali dal registro PESEL nell'ambito dei preparativi per le elezioni presidenziali del maggio 2020.
Su richiesta di Poczta Polska S.A., il Ministro per la Digitalizzazione ha trasferito dal registro PESEL i dati di circa 30 milioni di cittadini adulti. Questi dati sono stati poi elaborati dall'ufficio postale. Ciò è avvenuto senza una base giuridica sufficiente e ha violato i principi fondamentali del GDPR, in particolare l'art. 5 par. 1 lett. a (legittimità) e l'art. 6 par. 1 (base giuridica del trattamento).
Il trattamento dei dati ha interessato quasi l'80% della popolazione polacca. È stato classificato come particolarmente grave in quanto ha violato i diritti fondamentali delle persone interessate ed è stato commesso da due enti pubblici centrali - un ministero e una società statale.
Secondo l'autorità, sia il ministero che Poczta Polska hanno agito non solo illegalmente, ma anche con intento condizionale. Le parti coinvolte erano consapevoli dell'incertezza giuridica, ma hanno agito comunque. Esistevano già sentenze di tribunale che mettevano in dubbio la legalità delle misure.
L'UODO ha basato la sua valutazione dell'ammenda sulle Linee Guida EDSA 04/2022. Per Poczta Polska è stato determinato un importo di ammenda "massimo dinamico". La sanzione effettiva corrisponde solo a circa 2,8 % dei pagamenti di compensazione statali che la società ha ricevuto nel 2025, ossia un importo non eccessivamente oneroso in relazione alla sua forza finanziaria.
L'importo della multa inflitta al ministro è stato fissato al massimo consentito dalla legge per gli enti pubblici (100.000 PLN). L'obiettivo è quello di avere un effetto deterrente, nonostante la portata limitata della sanzione.
CaixaBank: 3,5 milioni di euro (Spagna)
L'autorità spagnola per la protezione dei dati Agencia Española de Protección de Datos (AEPD) ha contro il CaixaBank S.A. una multa per un totale di 3,5 milioni di euro è stato imposto. La decisione è stata presa in seguito a un reclamo di due clienti che detenevano un conto congiunto presso la banca. Essi avevano ripetutamente ed esplicitamente dichiarato alla banca che la madre del denunciante non doveva essere autorizzata a visualizzare o accedere a qualsiasi informazione su questo conto. L'accesso era stato concesso perché la madre della denunciante aveva precedentemente agito come rappresentante autorizzato per uno dei conti della figlia. Sebbene tale autorizzazione sia stata successivamente revocata e l'accesso sia stato espressamente vietato, l'accesso era ancora possibile a causa di meccanismi di controllo interno non adeguatamente implementati.
La banca non ha adottato misure tecniche o organizzative adeguate per impedire l'accesso, anche dopo i ripetuti reclami degli interessati. Secondo l'AEPD, ciò costituisce una violazione dei principi del trattamento dei dati ai sensi dell'articolo 5, paragrafo 1, lettera f), del GDPR. Secondo tale articolo, i dati personali devono essere trattati in modo da garantire un'adeguata sicurezza, in particolare la protezione dall'accesso non autorizzato. Inoltre, l'autorità ha riscontrato una violazione dell'articolo 25 del GDPR, che obbliga le aziende a garantire la protezione dei dati attraverso la progettazione della tecnologia ("privacy by design") e attraverso impostazioni predefinite favorevoli alla protezione dei dati ("privacy by default").
L'AEPD ha imposto una multa di 500.000 euro per la violazione dell'articolo 5, paragrafo 1, lettera f), del GDPR. Il reato è stato classificato come particolarmente grave. Un'ulteriore multa di 3.000.000 di euro è stata inflitta per la violazione dell'articolo 25 del GDPR, che è stata valutata come grave.
CaixaBank deve inoltre adottare misure adeguate per garantire la riservatezza dei dati in questione entro tre mesi. Entro nove mesi, la banca deve anche introdurre misure tecniche e organizzative che soddisfino i requisiti di protezione dei dati attraverso la progettazione di tecnologie e impostazioni predefinite favorevoli alla protezione dei dati.
Fonte: Avviso di multa AEPD
Liga Nacional de Fútbol Profesional: 1 milione di euro (Spagna)
L'autorità spagnola per la protezione dei dati AEPD ha inflitto una multa di 1.000.000 di euro alla Liga Nacional de Fútbol Profesional (LALIGA). Il motivo è stato l'utilizzo di un sistema di accesso biometrico (riconoscimento delle impronte digitali) per l'accesso ad alcune aree dello stadio, le cosiddette "Gradas de animación" (zone per i tifosi).
L'AEPD ha contestato il fatto che le impronte digitali sono dati biometrici con requisiti di protezione particolarmente elevati ai sensi dell'articolo 9 del GDPR. Al trattamento di tali dati si applicano requisiti rigorosi, in particolare una valutazione d'impatto sulla protezione dei dati (DPIA), che LALIGA non ha eseguito correttamente ai sensi dell'articolo 35 del GDPR.
Inoltre, l'autorità ha criticato il fatto che la LALIGA, in quanto attore centrale all'interno del sistema dei campionati, assuma un ruolo di coordinamento e quindi sia responsabile dell'introduzione e dell'utilizzo del sistema, anche se l'implementazione tecnica è effettuata dai club. L'AEPD ha inoltre ordinato alla LALIGA di sospendere l'uso del sistema biometrico fino a quando non sarà presentata una valutazione d'impatto corretta e completa sulla protezione dei dati.
Infine, l'autorità ha riscontrato che esistevano alternative meno invasive per il controllo degli accessi, ad esempio con carte d'identità o codici personalizzati. Il principio di minimizzazione dei dati ai sensi dell'art. 5 del GDPR non è stato quindi rispettato.
L'importo della multa è stato determinato sulla base di vari fattori, tra cui l'importanza economica di LALIGA e il numero potenziale di soggetti interessati. La misura deve essere dissuasiva, proporzionata ed efficace ai sensi dell'articolo 83 del GDPR.
Fonte: Avviso di multa dell'AEPD
Ibermutua: 600.000 euro (Spagna)
L'autorità spagnola per la protezione dei dati AEPD ha imposto una multa di 1.000.000 di euro a Ibermutua, una mutua che lavora con la previdenza sociale, per una grave violazione della protezione dei dati. Il 15 luglio 2024 è emerso un incidente in cui un errore di programmazione nella notifica via e-mail dello stato di salute dei dipendenti ha fatto sì che i dati personali di 3.395 interessati venissero inavvertitamente trasmessi a 354 destinatari errati (aziende e consulenti). Le informazioni trasmesse includevano nomi, NIF/NIE, numeri di assicurazione nazionale, dati sanitari, dati sugli infortuni sul lavoro, informazioni sul datore di lavoro e informazioni sulla durata e la natura delle assenze dal lavoro - in alcuni casi dati sensibili ai sensi dell'art. 9 del GDPR.
L'errore è stato causato da una modifica difettosa del codice sorgente della piattaforma di invio, che ha fatto sì che gli allegati di posta elettronica si accumulassero e venissero inviati ripetutamente a diversi destinatari. In seguito all'incidente, Ibermutua ha adottato misure tecniche e organizzative immediate, tra cui la correzione dell'errore, l'introduzione di meccanismi di controllo aggiuntivi e l'informazione delle persone e dei destinatari interessati. Tuttavia, l'AEPD ha rilevato che le misure di sicurezza precedenti all'incidente erano inadeguate, soprattutto in considerazione dell'elevata sensibilità e del volume di dati inviati regolarmente (250.000 e-mail al mese in media).
Nel corso del procedimento, Ibermutua ha riconosciuto la propria responsabilità, ha pagato volontariamente la multa e ha rinunciato al diritto di appello. La multa è stata così ridotta a 600.000 euro. Inoltre, Ibermutua è stata obbligata ad adottare misure specifiche per migliorare la protezione dei dati personali nelle comunicazioni via e-mail entro tre mesi dalla data in cui la decisione è diventata definitiva e a fornire prove della loro attuazione all'autorità per la protezione dei dati.
Fonte: Avviso di multa dell'AEPD
Modetour Network: circa 479.000 euro (752,2 milioni di won, Corea)
L'autorità sudcoreana per la protezione dei dati personali (Personal Information Protection Commission, PIPC) ha imposto una multa di 757,2 milioni di won (equivalenti a 479.000 euro) al tour operator Modetour Network Co, Ltd., che ha ricevuto un'ammenda di 5 milioni di euro.
Nel luglio 2024, Modetour Network ha segnalato una violazione dei dati e il PIPC ha avviato un'indagine. È stato scoperto che nel giugno 2024 un hacker sconosciuto aveva sfruttato le vulnerabilità della funzione di caricamento dei file sul sito web dell'azienda per caricare più file webshell. Eseguendo codice maligno, l'aggressore è riuscito ad accedere al database dei clienti e a rubare i dati personali di circa 3,06 milioni di clienti, tra cui nomi, date di nascita, sesso e numeri di cellulare.
L'indagine ha rilevato che Modetour Network non aveva adottato misure di sicurezza adeguate per prevenire tali attacchi. Inoltre, la società ha informato le persone interessate dell'incidente solo nel settembre 2024, nonostante la legge preveda la notifica entro 72 ore dalla conoscenza dell'incidente.
L'indagine ha inoltre rivelato che i dati personali di circa 3,16 milioni di non soci raccolti dal marzo 2013 non erano stati correttamente cancellati, nonostante il periodo di conservazione fosse scaduto.
Oltre alla multa, alla società è stato ordinato di rendere pubblica la sanzione e di migliorare i propri sistemi interni di gestione della protezione dei dati per prevenire future violazioni.
Fonte: Avviso di multa PIPC
Evitate le multe e rendete la vostra organizzazione conforme al GDPR. Offriamo soluzioni personalizzate per la vostra organizzazione: contattateci.
Italian 
German 
English 
French