Il Commissario federale per il Protezione dei dati Il Commissario federale per la protezione dei dati e la libertà d'informazione (BfDI), prof.ssa Louisa Specht-Riemenschneider, ha inflitto a Vodafone GmbH due multe per un totale di 45 milioni di euro. Le sanzioni riguardano le carenze nei rapporti con gli incaricati del trattamento e le carenze nella sicurezza tecnica e organizzativa dei sistemi di trattamento.
Controllo insufficiente dei processori
Il punto di partenza sono stati numerosi reclami relativi a conclusioni contrattuali fraudolente da parte di dipendenti di agenzie partner che intermediano contratti con i clienti per conto di Vodafone. In particolare, sono state individuate modifiche contrattuali fittizie e conclusioni contrattuali non autorizzate a danno dei clienti. Questi incidenti hanno rivelato debolezze strutturali nella gestione della protezione dei dati da parte dei responsabili del trattamento utilizzati.
Per queste inadempienze è stata comminata una multa di 15 milioni di euro. Il BfDI ha riscontrato che Vodafone non ha adempiuto agli obblighi di protezione dei dati personali ai sensi dell'art. 28 (1), comma 1. GDPR non è stato sufficientemente rispettato. In seguito Persone responsabili affidare l'incarico solo a responsabili del trattamento che offrano sufficienti garanzie sull'adozione di adeguate misure di protezione dei dati. Misure tecniche e organizzative essere prese al fine di Elaborazione in conformità con il GDPR garantire.
In particolare, è mancata un'adeguata selezione e un monitoraggio continuo delle agenzie partner. Questi episodi illustrano un problema che si incontra spesso nella pratica: la responsabilità della protezione dei dati per le agenzie commissionate Terza parte è spesso sottovalutato o trascurato, il che comporta rischi considerevoli per Parti interessate può portare con sé.
Suggerimento di lettura: Ecco le cinque multe più alte previste dal GDPR nel maggio 2025
Carenze nella sicurezza tecnica
Un secondo punto chiave di critica da parte del BfDI riguardava le debolezze nel processo di autenticazione per l'uso combinato del portale clienti "MeinVodafone" e della hotline Vodafone. Queste lacune nella sicurezza hanno permesso a persone non autorizzate di Terza parte a profili eSIM e quindi a Dati personali accesso. Per questo Violazione contro l'art. 32, par. 1 GDPR è stata comminata un'ulteriore multa di 30 milioni di euro.
Art. 32 GDPR obbligato Persone responsabili implementare misure tecniche e organizzative adeguate per garantire un livello di protezione commisurato al rischio. Il caso Vodafone è un esempio dei pericoli che possono derivare da meccanismi di autenticazione inadeguati. E questo in un momento in cui gli scenari di minaccia posti da attacchi informatici e Ingegneria sociale in costante aumento.
BfDI elogia Vodafone: tutte le circostanze sono state rese note durante il procedimento
Vodafone ha risposto in modo esauriente alle critiche dell'autorità di vigilanza sulla protezione dei dati. Secondo il BfDI, i processi di vendita sono stati rivisti, i sistemi modernizzati e le architetture di sicurezza migliorate in modo sostanziale. Anche i processi di selezione e controllo delle agenzie partner sono stati ristrutturati. Nel corso del processo, l'azienda si è separata da partner contrattuali problematici. In un'ispezione di follow-up, il BfDI vuole ora verificare se le misure adottate sono efficaci a lungo termine.
Va sottolineato in particolare che Vodafone ha collaborato pienamente durante il procedimento e ha anche rivelato circostanze autoincriminanti. Le multe sono state accettate e sono già state interamente versate alla tesoreria federale.
Monitoraggio dei processori
Il caso Vodafone è esemplare delle sfide strutturali che molte aziende devono affrontare nell'ambito della conformità alla protezione dei dati. Come sottolinea il BfDI, in molti settori si registra un ritardo negli investimenti per la modernizzazione delle tecnologie informatiche. Di conseguenza, spesso vengono effettuati tagli alla sicurezza, mentre il monitoraggio degli elaboratori viene trascurato.
Tuttavia, l'esempio dimostra anche che la protezione dei dati può assumere un'importanza strategica per le aziende. Vodafone non solo ha rafforzato le proprie strutture interne nel corso dell'indagine, ma ha anche donato diversi milioni di euro a organizzazioni impegnate nella protezione dei dati, nell'alfabetizzazione mediatica e digitale.
Imponendo le multe, il BfDI invia un chiaro segnale: le violazioni della protezione dei dati non rimangono senza conseguenze. Allo stesso tempo, l'autorità persegue un approccio costruttivo: le aziende che prendono sul serio la protezione dei dati e sono trasparenti devono essere sostenute.
German 
English 
Italian 
French