Nell'aprile del 2025 ci sono state di nuovo delle belle settimane spagnole: Nessun altro Autorità di vigilanza Nessun'altra organizzazione nell'UE ha imposto un numero così elevato di multe come l'Agencia Española de Protección de Datos (AEPD). Le cinque multe più alte di aprile sono state emesse tutte in Spagna. I reati in sintesi:
Marina Salud, 500.000 euro (Spagna)
L'autorità spagnola per la protezione dei dati personali Agencia Española de Protección de Datos (AEPD) ha avviato un procedimento nei confronti di Marina Salud, S.A. Fine per un importo di 500.000 euro. Il motivo era un Reclamo la Conselleria de Sanidad della Generalitat Valenciana, la Marina Salud nell'ambito di un accordo di concessione in vigore dal 2009 con la Elaborazione particolarmente sensibile Dati sulla salute nell'area del Departamento de Salud de Denia. La Conselleria era responsabile della protezione dei dati Persone responsabilimentre Marina Salud ha svolto il ruolo di elaboratore.
L'indagine si è incentrata sull'accusa che Marina Salud abbia commissionato a subappaltatori l'esecuzione dei lavori senza la necessaria notifica preventiva. Elaborazione di dati personali. Ciò costituisce un Violazione contro l'articolo 28, paragrafo 2 GDPR in base al quale un incaricato del trattamento richiede il consenso della persona responsabile del Elaborazione responsabile prima di utilizzare altri processori. Nonostante le ripetute richieste della Conselleria e nell'ambito di un'ispezione ufficiale, Marina Salud si è rifiutata di rivelare i contratti con i fornitori terzi di sistemi informatici utilizzati per le cure mediche. Questo comportamento è stato criticato dall'AEPD come segno di mancanza di Trasparenza e la non conformità alle norme di legge.
L'inchiesta ha rivelato che le categorie di dati in questione comprendono, tra l'altro Dati sulla salutedati genetici e altre informazioni particolarmente sensibili. Poiché Marina Salud, in quanto fornitore di servizi sanitari pubblici, tratta regolarmente dati sensibili, l'autorità per la protezione dei dati ha ritenuto che ciò fosse particolarmente rilevante e quindi una grave violazione del dovere. Inoltre, l'autorità per la protezione dei dati ha chiarito che si trattava di una violazione permanente del dovere, in quanto l'obbligo di informare il responsabile del trattamento continua ad applicarsi anche durante i rapporti di trattamento in corso.
Dopo aver valutato le circostanze - in particolare la gravità dei dati in questione, la durata della violazione e l'importanza commerciale del trattamento dei dati - il Fine fissato a 500.000 euro. Si tratta di una cifra ben al di sotto dell'importo massimo legalmente consentito di 2 % del fatturato annuo.
Fonte: Multa dell'AEPD contro Marina Salud (pubblicato il 7 aprile 2025)
Vodafone España S.A.U., 200.000 euro (Spagna)
L'autorità spagnola per la protezione dei dati AEPD ha avviato un procedimento contro Vodafone España S.A.U. Fine per un importo di 200.000 euro per violazione dell'articolo 6 (1) GDPR è stato imposto. L'antefatto del procedimento è stato un caso di SIM swapping, in cui una terza parte ha sostituito la carta SIM di un cliente senza autorizzazione, ottenendo così l'accesso alla connessione mobile e ad altri servizi digitali del cliente.
Il Parti interessate è stato avvisato del cambio di SIM con un SMS di conferma da parte di Vodafone. Poco dopo è emerso che nel corso del cambio di SIM erano stati effettuati due bonifici bancari non autorizzati attraverso il conto della persona interessata. L'analisi ha rivelato che il cambio era stato autorizzato da un agente Vodafone, anche se la chiamata proveniva da un numero internazionale - un chiaro segno di "non conformità". Violazione contro le linee guida di sicurezza di Vodafone. In base a queste linee guida, in questo caso si sarebbe dovuta effettuare una verifica aggiuntiva tramite una richiamata. Non c'è traccia di questo processo e non è stato possibile rintracciare completamente l'origine della carta SIM.
Vodafone ha riconosciuto l'errore, descrivendolo come un "errore umano una tantum" e sottolineando le misure di sicurezza già in atto, come le notifiche via SMS, la formazione interna e la limitazione dell'autorizzazione dei partner di vendita a emettere duplicati di SIM. Vodafone ha inoltre sostenuto che l'abuso da parte di Terza parte (ad esempio attraverso Ingegneria sociale) non è pienamente sotto il suo controllo e pertanto non costituisce automaticamente una violazione degli obblighi di protezione dei dati.
Tuttavia, l'AEPD è stata di parere diverso: l'autorità ha ritenuto che non fossero i sistemi di sicurezza in quanto tali, ma il loro uso improprio da parte dei dipendenti Vodafone a determinare l'accesso illecito ai dati. La semplice esistenza di linee guida sulla sicurezza non era sufficiente se non venivano rispettate nel momento cruciale. L'autorità per la protezione dei dati ha sottolineato che il Elaborazione dei dati personali è ammissibile solo in presenza di chiare condizioni giuridiche - in particolare, l'assenza di un controllo dell'identità costituisce una Violazione contro il principio del trattamento dei dati su base lecita.
L'autorità per la protezione dei dati ha respinto sia l'argomento della mancanza di "colpevolezza" sia l'applicazione di circostanze attenuanti come la cooperazione o la limitazione dei danni. Ha classificato l'incidente come una grave e colpevole violazione del dovere ai sensi dell'articolo 83, paragrafo 5, lettera a). GDPR e ha imposto una multa di 200.000 euro.
Fonte: Avviso di multa dell'AEPD contro Vodafone España S.A.U. (pubblicato il 21 aprile 2025)
Orange Bank S.A., 200.000 euro (Spagna)
L'autorità spagnola per la protezione dei dati AEPD ha imposto una multa di 200.000 euro a Orange Bank, S.A. per violazione dell'articolo 5, paragrafo 1, lettera f), del GDPR. GDPR (Principio di Integrità e Riservatezza) è stato imposto.
L'antefatto del procedimento è stata una violazione della sicurezza presso un'azienda di elaborazione (Marktel), causata da un attacco ransomware. Ciò ha comportato l'accesso non autorizzato a Dati personalicompresi i codici IBAN, alcuni dei quali non erano sufficientemente criptati. I dati interessati provenivano dall'elaborazione di crediti inesigibili per dispositivi mobili per i quali Orange Espagne fungeva da elaboratore per Orange Bank.
L'AEPD ha ritenuto che, sebbene Marktel agisse come incaricato del trattamento nell'ambito di un contratto con Orange Espagne, Orange Bank dovesse essere considerata il responsabile del trattamento dei dati personali interessati dalla violazione della sicurezza. L'accesso di terzi a dati non pseudonimizzati o criptati è stato considerato una perdita di controllo sui dati personali e quindi una violazione della sicurezza. Violazione contro il principio di Riservatezza visto.
Oltre alla multa, a Orange Bank è stato ordinato di fornire, entro sei mesi dalla data in cui la decisione è diventata definitiva, la prova che sono state adottate tutte le misure necessarie per garantire il rispetto della legge. Riservatezza dei dati.
Fonte: Avviso di multa dell'AEPD contro Orange Bank S.A. (pubblicato l'11 aprile 2025)
Suggerimento di lettura: Le cinque multe più alte nel marzo 2025
Vodafone España, S.A.U., 200.000 euro (Spagna)
L'autorità spagnola per la protezione dei dati AEPD ha avviato un procedimento contro Vodafone España, S.A.U. Fine per un importo di 200.000 euro per violazione dell'articolo 6 (1) GDPR è stato imposto. La decisione è stata presa in seguito a un caso di scambio di SIM, in cui una terza persona ha ottenuto in modo fraudolento una copia della carta SIM di una cliente, ottenendo così l'accesso al suo conto bancario.
Il Parti interessate ha denunciato l'accaduto e ha documentato di aver ricevuto un messaggio di testo da Vodafone il 25 luglio 2022 che la informava di aver cambiato la sua carta SIM, ma di non aver avviato lei stessa la modifica. Poco dopo, il cellulare è stato disattivato ed è stato effettuato un trasferimento di denaro non autorizzato di 600 euro tramite il servizio di pagamento Bizum. La cliente ha immediatamente contattato Vodafone e ha sporto denuncia alla polizia.
L'indagine dell'AEPD ha rivelato che il cambio della carta SIM è stato prima avviato tramite il canale online e poi completato in una filiale Vodafone. Vodafone non è stata in grado di dimostrare che i propri protocolli di sicurezza sono stati adeguatamente rispettati durante questa azione - in particolare, non c'è stato alcun controllo verificabile dell'identità del richiedente. Inoltre, la relativa richiesta telefonica non è stata registrata, il che ha violato il dovere di diligenza.
Vodafone si è difesa sostenendo che si trattava di una frode complessa e organizzata che non poteva essere attribuita a una strategia di sicurezza inadeguata. L'azienda ha fatto riferimento alle sue linee guida sulla sicurezza costantemente aggiornate e ha sostenuto di non poter essere ritenuta responsabile del comportamento criminale di terzi. Inoltre, l'accesso diretto ai dati bancari attraverso lo scambio di SIM non era possibile.
L'AEPD ha respinto questa argomentazione e ha sottolineato che lo scambio di carte SIM è un processo rilevante ai sensi della legge sulla protezione dei dati che richiede controlli di identità particolarmente accurati. L'autorità ha riscontrato che Vodafone non aveva effettuato il Elaborazione di dati personali senza una valida base giuridica, in particolare perché la colpiti il cliente non aveva acconsentito al processo. Il mancato rispetto dei protocolli di sicurezza interni e gli incidenti simili verificatisi in passato sono stati considerati circostanze aggravanti.
Fonte: Avviso di multa dell'AEPD contro Vodafone España, S.A.U. (pubblicato il 5 aprile 2025)
Banco Bilbao Vizcaya Argentaria S.A., 120.000 euro (Spagna)
L'Autorità spagnola per la protezione dei dati (AEPD) ha imposto una multa di 200.000 euro al Banco Bilbao Vizcaya Argentaria, S.A. (BBVA), dopo aver riconosciuto la Responsabilità civile e il pagamento volontario è stato ridotto a 120.000 euro.
L'occasione è stata la Reclamo di un cliente che aveva sostenuto che BBVA non sarebbe stata in grado di adempiere alle sue Consenso e quella del suo coniuge avevano firmato documenti con i quali aveva dato il Elaborazione dei loro dati personali, anche a fini pubblicitari e di profilazione. Gli interessati hanno negato di aver firmato questi documenti.
L'AEPD ha riscontrato che la banca non aveva fornito questi documenti, che Dati personali come il nome, la data di nascita, l'indirizzo e i dati sul reddito, senza una valida base legale. Nell'ambito dell'indagine interna, BBVA ha ammesso che un dipendente della banca non aveva seguito le procedure di firma stabilite. Sebbene BBVA disponga di regole interne, formazione video e meccanismi di controllo per la corretta firma dei documenti, la banca ha ammesso che si trattava di una condotta individuale scorretta.
Poiché i dati in questione vengono memorizzati senza un Consenso sono stati elaborati, l'AEPD ha fornito un Violazione contro l'articolo 6, paragrafo 1 GDPR è stato stabilito. La situazione era aggravata dal fatto che BBVA era già stata sanzionata più volte per violazioni della protezione dei dati. Anche la grande quantità di dati personali trattati nell'ambito dell'attività bancaria è stata presa in considerazione come fattore aggravante.
BBVA ha colto l'opportunità di ottenere una riduzione per un totale di % 40 riconoscendo la propria responsabilità e pagando anticipatamente l'ammenda, concludendo così formalmente il procedimento.
Noi di 2B Advice vi aiutiamo a riconoscere ed eliminare tali rischi in una fase iniziale:
Consigli per la protezione dei dati secondo GDPR
✔ Elaborazione dell'ordine e trasferimenti da paesi terzi
Controllare le misure tecniche e organizzative (TOM)
Progettare processi di consenso e di informazione conformi alla legge.
Formazione di sensibilizzazione e corsi di formazione per i dipendenti
👉 Fissate subito una prima consulenza gratuita, prima che sia troppo tardi! Autorità di vigilanza fa.
German 
English 
Italian 
French