Nell'aprile del 2025, si è nuovamente verificata la settimana delle multe in Spagna: Nessun'altra autorità di vigilanza nell'UE ha imposto un numero di multe così elevato come l'Agencia Española de Protección de Datos (AEPD). Le cinque multe più alte di aprile sono state emesse tutte in Spagna. I reati in sintesi:
Marina Salud, 500.000 euro (Spagna)
L'autorità spagnola per la protezione dei dati personali Agencia Española de Protección de Datos (AEPD) ha inflitto una multa di 500.000 euro alla società Marina Salud, S.A.. Il motivo è stato un reclamo della Conselleria de Sanidad della Generalitat Valenciana, che aveva incaricato Marina Salud di trattare dati sanitari particolarmente sensibili nell'area del Departamento de Salud de Denia, nell'ambito di un contratto di concessione in vigore dal 2009. La Conselleria era il responsabile del trattamento dei dati ai sensi della legge sulla protezione dei dati, mentre Marina Salud fungeva da incaricato del trattamento.
L'indagine era incentrata sull'accusa che Marina Salud avesse affidato a subappaltatori il trattamento dei dati personali senza la necessaria notifica preventiva. Ciò costituisce una violazione dell'articolo 28, paragrafo 2, del GDPR, che impone a un incaricato del trattamento di ottenere il consenso del responsabile del trattamento prima di incaricare altri incaricati del trattamento. Nonostante le ripetute richieste della Conselleria e nel contesto di un'ispezione ufficiale, Marina Salud si è rifiutata di rivelare i contratti pertinenti con i fornitori terzi di sistemi informatici utilizzati per l'assistenza medica. Ciò è stato considerato dall'AEPD come un segno di mancanza di trasparenza e di non conformità ai requisiti di legge.
L'indagine ha rivelato che le categorie di dati in questione comprendevano dati sanitari, dati genetici e altre informazioni particolarmente sensibili. Poiché Marina Salud tratta regolarmente dati sensibili in qualità di fornitore di servizi sanitari pubblici, l'autorità per la protezione dei dati ha ritenuto che si trattasse di una violazione particolarmente rilevante e quindi grave. Inoltre, l'autorità per la protezione dei dati ha chiarito che si trattava di una violazione permanente del dovere, in quanto l'obbligo di informare il responsabile del trattamento continua ad applicarsi anche durante i rapporti di trattamento in corso.
Dopo aver valutato le circostanze - in particolare la gravità dei dati coinvolti, la durata dell'infrazione e l'importanza commerciale del trattamento dei dati - la multa è stata fissata a 500.000 euro. Si tratta di un importo ben inferiore al massimo consentito dalla legge, pari a 2 % del fatturato annuo.
Fonte: Multa dell'AEPD contro Marina Salud (pubblicato il 7 aprile 2025)
Vodafone España S.A.U., 200.000 euro (Spagna)
L'autorità spagnola per la protezione dei dati AEPD ha imposto una multa di 200.000 euro a Vodafone España S.A.U. per violazione dell'articolo 6 (1) del GDPR. Alla base del procedimento c'è un caso di SIM swapping, in cui una terza parte ha sostituito la carta SIM di un cliente senza autorizzazione, ottenendo così l'accesso alla connessione mobile del cliente e ad altri servizi digitali.
La persona interessata è stata informata del cambio di SIM con un messaggio di testo di conferma da parte di Vodafone. Poco dopo è emerso che, nell'ambito del cambio di SIM, erano stati effettuati due bonifici bancari non autorizzati attraverso il conto della vittima. L'analisi ha rivelato che il cambio era stato autorizzato da un agente Vodafone, sebbene la chiamata provenisse da un numero internazionale - una chiara violazione delle linee guida di sicurezza di Vodafone. Secondo queste linee guida, in questo caso si sarebbe dovuta effettuare una verifica aggiuntiva tramite una richiamata. Non c'è traccia di questo processo e non è stato possibile rintracciare completamente l'origine della carta SIM.
Vodafone ha riconosciuto l'errore, descrivendolo come un "errore umano una tantum" e facendo riferimento alle misure di sicurezza già in atto, come le notifiche via SMS, la formazione interna e la limitazione dell'autorizzazione dei partner di vendita a emettere duplicati delle SIM. Vodafone ha inoltre sostenuto che l'uso improprio da parte di terzi (ad esempio attraverso il social engineering) non era interamente sotto il suo controllo e quindi non costituiva automaticamente una violazione degli obblighi di protezione dei dati.
Tuttavia, l'AEPD è stata di parere diverso: l'autorità ha ritenuto che non fossero i sistemi di sicurezza in quanto tali, ma il loro uso improprio da parte dei dipendenti Vodafone a determinare l'accesso illecito ai dati. La semplice esistenza di linee guida sulla sicurezza non era sufficiente se non venivano rispettate nel momento cruciale. L'autorità per la protezione dei dati ha sottolineato che il trattamento dei dati personali è consentito solo in presenza di chiare condizioni legali - in particolare, la mancanza di un controllo dell'identità costituisce una violazione del principio del trattamento dei dati su base legittima.
L'autorità per la protezione dei dati ha respinto sia l'argomentazione della mancanza di "colpa" sia l'applicazione di circostanze attenuanti come la cooperazione o la limitazione dei danni. Ha classificato l'incidente come una violazione grave e colpevole ai sensi dell'articolo 83, paragrafo 5, lettera a), del GDPR e ha imposto una multa di 200.000 euro.
Fonte: Avviso di multa dell'AEPD contro Vodafone España S.A.U. (pubblicato il 21 aprile 2025)
Orange Bank S.A., 200.000 euro (Spagna)
L'autorità spagnola per la protezione dei dati AEPD ha imposto una multa di 200.000 euro a Orange Bank, S.A. per violazione dell'articolo 5, paragrafo 1, lettera f) del GDPR (principio di integrità e riservatezza).
L'antefatto del procedimento è stata una violazione della sicurezza presso un'azienda di elaborazione (Marktel), causata da un attacco ransomware. Ciò ha comportato l'accesso non autorizzato ai dati personali, compresi i codici IBAN, alcuni dei quali non erano sufficientemente criptati. I dati interessati provenivano dall'elaborazione di crediti inesigibili per dispositivi mobili per i quali Orange Espagne fungeva da elaboratore per Orange Bank.
L'AEPD ha ritenuto che, sebbene Marktel agisse come incaricato del trattamento nell'ambito di un contratto con Orange Espagne, Orange Bank dovesse essere considerata il responsabile del trattamento dei dati personali interessati dalla violazione della sicurezza. L'accesso di terzi a dati non pseudonimizzati o criptati è stato considerato una perdita di controllo sui dati personali e quindi una violazione del principio di riservatezza.
Oltre alla multa, alla Orange Bank è stato ordinato di dimostrare, entro sei mesi dalla data in cui la decisione è diventata definitiva, che sono state adottate tutte le misure necessarie per garantire la riservatezza dei dati.
Fonte: Avviso di multa dell'AEPD contro Orange Bank S.A. (pubblicato l'11 aprile 2025)
Suggerimento di lettura: Le cinque multe più alte nel marzo 2025
Vodafone España, S.A.U., 200.000 euro (Spagna)
L'autorità spagnola per la protezione dei dati AEPD ha imposto una multa di 200.000 euro a Vodafone España, S.A.U. per violazione dell'articolo 6 (1) del GDPR. Il motivo è stato un caso di scambio di SIM, in cui una terza parte ha ottenuto in modo fraudolento una copia della carta SIM di una cliente, ottenendo così l'accesso al suo conto bancario.
La vittima ha denunciato l'accaduto e ha documentato di aver ricevuto un messaggio di testo da Vodafone il 25 luglio 2022 che la informava di aver cambiato la sua carta SIM, ma di non aver avviato lei stessa la modifica. Poco dopo, il cellulare è stato disattivato ed è stato effettuato un trasferimento di denaro non autorizzato di 600 euro tramite il servizio di pagamento Bizum. La cliente ha immediatamente contattato Vodafone e ha sporto denuncia alla polizia.
L'indagine dell'AEPD ha rivelato che il cambio della carta SIM è stato prima avviato tramite il canale online e poi completato in una filiale Vodafone. Vodafone non è stata in grado di dimostrare che i propri protocolli di sicurezza sono stati adeguatamente rispettati durante questa azione - in particolare, non c'è stato alcun controllo verificabile dell'identità del richiedente. Inoltre, la relativa richiesta telefonica non è stata registrata, il che ha violato il dovere di diligenza.
Vodafone si è difesa sostenendo che si trattava di una frode complessa e organizzata che non poteva essere attribuita a una strategia di sicurezza inadeguata. L'azienda ha fatto riferimento alle sue linee guida sulla sicurezza costantemente aggiornate e ha sostenuto di non poter essere ritenuta responsabile del comportamento criminale di terzi. Inoltre, l'accesso diretto ai dati bancari attraverso lo scambio di SIM non era possibile.
L'AEPD ha respinto questa argomentazione e ha sottolineato che lo scambio della carta SIM è un processo rilevante per la protezione dei dati che richiede un controllo particolarmente accurato dell'identità. L'autorità ha riscontrato che Vodafone ha effettuato il trattamento dei dati personali senza una base giuridica valida, in particolare perché il cliente interessato non aveva acconsentito al processo. Il mancato rispetto dei protocolli di sicurezza interni e gli incidenti simili verificatisi in passato sono stati considerati circostanze aggravanti.
Fonte: Avviso di multa dell'AEPD contro Vodafone España, S.A.U. (pubblicato il 5 aprile 2025)
Banco Bilbao Vizcaya Argentaria S.A., 120.000 euro (Spagna)
L'Autorità spagnola per la protezione dei dati (AEPD) ha inflitto al Banco Bilbao Vizcaya Argentaria, S.A. (BBVA) una multa di 200.000 euro, ridotta a 120.000 euro in seguito all'ammissione di responsabilità e al pagamento volontario.
La decisione è stata presa in seguito al reclamo di un cliente che sosteneva che BBVA aveva firmato, senza il suo consenso e quello del coniuge, dei documenti in cui acconsentiva al trattamento dei suoi dati personali, anche a fini pubblicitari e di profilazione. Le parti interessate hanno negato di aver firmato questi documenti.
L'AEPD ha rilevato che la banca aveva trattato questi documenti, che contenevano dati personali come nome, data di nascita, indirizzo e dati sul reddito, senza una base legale valida. Nell'ambito dell'indagine interna, BBVA ha ammesso che un dipendente della banca non aveva seguito le procedure di firma stabilite. Sebbene BBVA disponga di regole interne, formazione video e meccanismi di controllo per la corretta firma dei documenti, la banca ha ammesso che si trattava di una condotta individuale scorretta.
Poiché i dati in questione sono stati trattati senza un valido consenso, l'AEPD ha riscontrato una violazione dell'articolo 6, paragrafo 1, del GDPR. La violazione è stata aggravata dal fatto che BBVA era già stata sanzionata più volte per violazioni della protezione dei dati. Anche la grande quantità di dati personali trattati nell'ambito dell'attività bancaria è stata presa in considerazione come fattore aggravante.
BBVA ha colto l'occasione per ottenere una riduzione per un totale di % 40 riconoscendo la propria responsabilità e pagando anticipatamente l'ammenda, concludendo così formalmente il procedimento.
Noi di 2B Advice vi aiutiamo a riconoscere ed eliminare tali rischi in una fase iniziale:
Consulenza sulla protezione dei dati secondo il GDPR
Elaborazione sicura degli ordini e trasferimenti da paesi terzi
Controllare le misure tecniche e organizzative (TOM)
Progettare processi di consenso e di informazione conformi alla legge.
Formazione di sensibilizzazione e corsi di formazione per i dipendenti
👉 Fissate subito una prima consulenza gratuita, prima che lo faccia l'autorità di vigilanza.
Italian 
German 
English 
French