Chiunque introduca sistemi di accesso biometrici deve fare attenzione: In Spagna, l'autorità per la protezione dei dati AEPD ha inflitto una multa salata all'associazione calcistica spagnola LALIGA. Fine imposto, perché prima dell'uso degli scanner di impronte digitali nessun Valutazione dell'impatto sulla protezione dei dati è stata realizzata. In Polonia è stato proprio il ministro del digitale a prendersi la torta: Con il condizionale d'obbligo, ha violato i principi fondamentali del diritto di privacy. GDPR circa l'80% della popolazione polacca. Il ministro stesso se l'è cavata con poco, a differenza dello psot polacco. Per la prima volta, una multa proveniente dalla Corea del Sud è entrata nella classifica delle multe più salate del mese. Durante un attacco hacker a un tour operator, non solo sono stati rubati oltre 3 milioni di dati di clienti. Durante le indagini, i responsabili della protezione dei dati hanno scoperto che erano stati memorizzati circa tre milioni di dati non relativi ai clienti, anche se il termine era scaduto da tempo. Il Fine da.
Poczta Polska S.A.: 6,44 milioni di euro (Polonia)
Con una decisione del 18 marzo 2025, l'autorità polacca per la protezione dei dati Urząd Ochrony Danych Osobowych (UODO) ha imposto multe di 27.124.816 PLN (circa 6,44 milioni di euro) a Poczta Polska S.A. (Poste polacche) e di 100.000 PLN al Ministero della Digitalizzazione. L'antefatto è l'illecito Trasmissione e Elaborazione dati personali dal registro PESEL nell'ambito dei preparativi per le elezioni presidenziali del maggio 2020.
Su richiesta di Poczta Polska S.A., il Ministro per la Digitalizzazione ha trasferito dal registro PESEL i dati di circa 30 milioni di cittadini adulti. Questi dati sono stati poi elaborati dall'ufficio postale. Ciò è stato fatto senza una base legale sufficiente e ha violato i principi fondamentali della legge. GDPRin particolare contro l'art. 5 par. 1 lett. a (legittimità) e l'art. 6 par. 1 (base giuridica del trattamento). Elaborazione).
Il trattamento dei dati ha interessato quasi l'80% della popolazione polacca. È stato classificato come particolarmente grave in quanto ha violato i diritti fondamentali delle persone interessate ed è stato commesso da due enti pubblici centrali - un ministero e una società statale.
Secondo l'autorità, sia il ministero che Poczta Polska hanno agito non solo illegalmente, ma anche con intento condizionale. Le parti coinvolte erano consapevoli dell'incertezza giuridica, ma hanno agito comunque. Esistevano già sentenze di tribunale che mettevano in dubbio la legalità delle misure.
L'UODO ha basato la sua valutazione dell'ammenda sulle Linee Guida EDSA 04/2022. Per Poczta Polska è stato determinato un importo di ammenda "massimo dinamico". La sanzione effettiva corrisponde solo a circa 2,8 % dei pagamenti di compensazione statali che la società ha ricevuto nel 2025, ossia un importo non eccessivamente oneroso in relazione alla sua forza finanziaria.
L'importo della multa inflitta al ministro è stato fissato al massimo consentito dalla legge per gli enti pubblici (100.000 PLN). L'obiettivo è quello di avere un effetto deterrente, nonostante la portata limitata della sanzione.
CaixaBank: 3,5 milioni di euro (Spagna)
L'autorità spagnola per la protezione dei dati Agencia Española de Protección de Datos (AEPD) ha contro il CaixaBank S.A. a Fine nell'importo totale di 3,5 milioni di euro è stato imposto. Il motivo era un Reclamo di due clienti che detenevano un conto congiunto presso la banca. I due clienti avevano ripetutamente ed esplicitamente dichiarato alla banca che la madre del denunciante non era autorizzata a visualizzare o ad avere accesso a qualsiasi informazione su questo conto. L'accesso era stato concesso perché la madre della denunciante aveva precedentemente agito come rappresentante autorizzato per uno dei conti della figlia. Sebbene tale autorizzazione sia stata successivamente revocata e l'accesso sia stato espressamente vietato, l'accesso era ancora possibile a causa di meccanismi di controllo interno non adeguatamente implementati.
La banca non ha adottato misure tecniche o organizzative adeguate per impedire l'accesso, anche dopo i ripetuti reclami degli interessati. Secondo l'AEPD, ciò costituisce una Violazione contro i principi del trattamento dei dati ai sensi dell'articolo 5, paragrafo 1, lettera f) GDPR rappresentare. Dopo di che Dati personali sono trattati in modo da garantire un'adeguata sicurezza, in particolare contro l'accesso non autorizzato. Inoltre, l'autorità ha fornito un Violazione contro l'articolo 25 GDPR che obbliga le aziende a farlo, Protezione dei dati attraverso la progettazione della tecnologia ("Privacy by Design") e le impostazioni predefinite per la protezione dei dati ("Privacy by Default").
Per il Violazione contro l'articolo 5, paragrafo 1, lettera f GDPR l'AEPD ha imposto un Fine per un importo di 500.000 euro. Il Violazione è stato classificato come particolarmente grave. Per il Violazione contro l'articolo 25 GDPR un altro Fine è stato imposto un importo di 3.000.000 di euro, in base al quale questo Violazione è stato valutato come grave.
Inoltre, CaixaBank deve adottare, entro tre mesi, le misure appropriate per assicurare la Riservatezza dei dati in questione. Entro nove mesi, la banca dovrà inoltre Misure tecniche e organizzative che soddisfano i requisiti di protezione dei dati grazie alla progettazione tecnologica e alle impostazioni predefinite che favoriscono la protezione dei dati.
Fonte: Avviso di multa AEPD
Liga Nacional de Fútbol Profesional: 1 milione di euro (Spagna)
L'autorità spagnola per la protezione dei dati AEPD ha avviato un procedimento contro la Liga Nacional de Fútbol Profesional (LALIGA). Fine per un importo di 1.000.000 di euro. Il motivo è l'utilizzo di un sistema di accesso biometrico (riconoscimento delle impronte digitali) per l'accesso ad alcune aree dello stadio, le cosiddette "Gradas de animación" (zone per i tifosi).
L'AEPD ha obiettato che le impronte digitali sono dati biometrici con requisiti di protezione particolarmente elevati ai sensi dell'articolo 9. GDPR è interessato. Per il Elaborazione di tali dati sono soggetti a condizioni rigorose, in particolare ad una Valutazione dell'impatto sulla protezione dei dati (DSFA), che la LALIGA non ha valutato correttamente ai sensi dell'articolo 35 del Codice Civile. GDPR aveva effettuato.
L'autorità ha inoltre criticato il fatto che la LALIGA, in qualità di attore centrale all'interno del sistema dei campionati, ha un ruolo di coordinamento ed è quindi responsabile dell'introduzione e dell'utilizzo del sistema, anche se l'implementazione tecnica viene effettuata dai club. L'AEPD ha inoltre ordinato alla LALIGA di sospendere l'uso del sistema biometrico fino a quando non sarà stata effettuata una verifica corretta e completa. Valutazione dell'impatto sulla protezione dei dati viene presentato.
Infine, l'autorità ha riscontrato l'esistenza di alternative meno invasive rispetto alla Controllo degli accessi di sistema ad esempio con carte d'identità o codici personalizzati. Il principio della minimizzazione dei dati ai sensi dell'art. 5 GDPR non rispettati.
L'importo dell'ammenda è stato determinato sulla base di vari fattori, tra cui l'importanza economica di LALIGA e il numero potenziale di persone interessate. Ai sensi dell'articolo 83 GDPR essere dissuasivo, proporzionato ed efficace.
Fonte: Avviso di multa dell'AEPD
Ibermutua: 600.000 euro (Spagna)
L'autorità spagnola per la protezione dei dati AEPD ha imposto una multa di 1.000.000 di euro a Ibermutua, una mutua che si occupa di previdenza sociale, per una grave violazione della protezione dei dati. Il 15 luglio 2024, è emerso un incidente in cui un errore di programmazione nella notifica via e-mail dello stato di salute dei dipendenti Dati personali di 3.395 soggetti sono stati inavvertitamente trasmessi a 354 destinatari errati (società e consulenti). Le informazioni trasmesse includevano nomi, numeri NIF/NIE e numeri di assicurazione nazionale, Dati sulla salutedati, dati sugli infortuni sul lavoro, informazioni sul datore di lavoro e informazioni sulla durata e la natura delle assenze dal lavoro - in alcuni casi dati sensibili ai sensi dell'art. 9 del GDPR. GDPR.
L'errore è stato causato da una modifica difettosa del codice sorgente della piattaforma di invio, che ha fatto sì che gli allegati di posta elettronica si accumulassero e venissero inviati ripetutamente a diversi destinatari. In seguito all'incidente, Ibermutua ha adottato misure tecniche e organizzative immediate, tra cui la correzione dell'errore, l'introduzione di meccanismi di controllo aggiuntivi e l'informazione delle persone e dei destinatari interessati. Tuttavia, l'AEPD ha rilevato che le misure di sicurezza precedenti all'incidente erano inadeguate, soprattutto in considerazione dell'elevata sensibilità e del volume di dati inviati regolarmente (250.000 e-mail al mese in media).
Nel corso del procedimento, Ibermutua ha riconosciuto la propria responsabilità, ha pagato volontariamente la multa e ha rinunciato al diritto di appello. La multa è stata così ridotta a 600.000 euro. Inoltre, Ibermutua è stata obbligata ad adottare misure specifiche per migliorare la protezione dei dati personali nelle comunicazioni via e-mail entro tre mesi dalla data in cui la decisione è diventata definitiva e a fornire prove della loro attuazione all'autorità per la protezione dei dati.
Fonte: Avviso di multa dell'AEPD
Modetour Network: circa 479.000 euro (752,2 milioni di won, Corea)
L'autorità sudcoreana per la protezione dei dati, la Personal Information Protection Commission (PIPC), ha presentato una denuncia contro il tour operator Modetour Network Co. Fine per un totale di 757,2 milioni di won (equivalenti a 479.000 euro).
Nel luglio 2024, Modetour Network ha segnalato una violazione dei dati e il PIPC ha avviato un'indagine. È stato scoperto che nel giugno 2024 un hacker sconosciuto aveva sfruttato le vulnerabilità della funzione di caricamento dei file sul sito web dell'azienda per caricare più file webshell. Eseguendo il codice maligno, l'aggressore è stato in grado di accedere al database dei clienti e di Dati personali di circa 3,06 milioni di clienti, compresi nomi, date di nascita, sesso e numeri di cellulare.
L'indagine ha rilevato che Modetour Network non aveva adottato misure di sicurezza adeguate per prevenire tali attacchi. Inoltre, l'azienda ha informato le persone interessate dell'incidente solo nel settembre 2024, nonostante la legge preveda la notifica entro 72 ore dalla conoscenza dell'incidente.
L'indagine ha inoltre rivelato che Dati personali di circa 3,16 milioni di non iscritti raccolti da marzo 2013 non sono stati correttamente cancellati, nonostante il periodo di conservazione fosse scaduto.
Oltre alla multa, alla società è stato ordinato di rendere pubblica la sanzione e di migliorare i propri sistemi interni di gestione della protezione dei dati per prevenire future violazioni.
Fonte: Avviso di multa PIPC
Evitate le multe e rendete la vostra organizzazione conforme al GDPR. Offriamo soluzioni personalizzate per la vostra organizzazione: contattateci.
German 
English 
Italian 
French