Aristotelis Zervos
Aristotelis Zervos, direttore editoriale di 2B Advice, unisce competenze giuridiche e giornalistiche in Protezione dei datiConformità informatica e regolamentazione dell'IA.
Il più alto Fine è stata inflitta a Vodafone in Germania nel giugno 2025. In Spagna e nel Regno Unito sono state inflitte multe da due milioni di euro per violazioni di dati in cui gli aggressori hanno ottenuto l'accesso non autorizzato ai dati attraverso il riempimento delle credenziali. In Irlanda, il Dipartimento dei Servizi Sociali è stato multato per una cifra relativamente alta. Fine penalizzati. A differenza di altri Paesi, in Irlanda è possibile imporre multe alle autorità e queste non hanno un tetto massimo.
Vodafone: 45 milioni di euro (Germania)
Il Commissario federale per la protezione dei dati e la libertà d'informazione (BfDI) ha inflitto a Vodafone GmbH due multe per un totale di 45 milioni di euro.
È stata comminata una multa di 15 milioni di euro perché il provider di telefonia mobile Vodafone non ha controllato e monitorato a sufficienza le agenzie partner che stipulano contratti con i clienti per conto dell'azienda. Ciò ha portato a casi di frode in cui i clienti sono stati danneggiati da contratti fittizi o da modifiche contrattuali.
Inoltre, è stata imposta una multa di 30 milioni di euro a causa di falle di sicurezza nel processo di autenticazione per l'uso combinato del portale online "MeinVodafone" e della hotline Vodafone. Queste falle consentivano a terzi non autorizzati di accedere ai profili eSIM dei clienti.
Vodafone ha risposto alle accuse migliorando i propri processi e sistemi e sostituendone alcuni completamente. L'obiettivo è ridurre al minimo i rischi in futuro. Inoltre, sono stati rivisti i processi di selezione e revisione delle agenzie partner. Infine, i partner che sono risultati aver commesso frodi sono stati separati. Il BfDI intende verificare l'efficacia di queste misure in un audit di follow-up.
Suggerimento di lettura: BfDI impone a Vodafone multe per un totale di 45 milioni di euro
Fonte: Comunicato stampa "BfDI impone multe a Vodafone" del 3 giugno 2025
Carrefour: 3,2 milioni di euro (Spagna)
L'autorità spagnola per la protezione dei dati, l'Agencia Española de Protección de Datos (AEPD), ha avviato un procedimento contro la catena di supermercati Carrefour Spain. Fine nell'importo totale di 3,2 milioni di euro imposto. I motivi sono diverse violazioni di dati in relazione a cinque violazioni di dati consecutive nel periodo da ottobre 2022 a settembre 2023. Gli incidenti di sicurezza hanno riguardato Un totale di 118.895 conti clientidove gli aggressori utilizzano i cosiddetti Imbottitura di credenziali accesso non autorizzato. Tra le altre cose, sono stati compromessi nomi, indirizzi, date di nascita, dati identificativi e contatti.
L'AEPD osserva che Carrefour insufficiente Misure tecniche e organizzative ai sensi dell'articolo 32 GDPR per prevenire tali attacchi. Inoltre, l'azienda ha intrapreso azioni contro il Principio di Integrità e Riservatezza ai sensi dell'art. 5 par. 1 lett. f GDPR violato; in parte anche contro la Obbligo di notifica agli interessati ai sensi dell'articolo 34 GDPR.
Lo stesso Carrefour aveva segnalato tutti e cinque gli incidenti all'AEPD. Il Autorità di vigilanza rimprovera l'azienda, aver reagito troppo tardi e in modo incompletosoprattutto nell'informare le persone interessate dai primi tre incidenti di sicurezza.
La ripartizione specifica dell'ammenda è la seguente:
- 2 milioni di euro per violazione dell'articolo 5, paragrafo 1, lettera f) GDPR (Integrità e Riservatezza)
- 1 milione di euro per violazione dell'articolo 32 GDPR (Sicurezza dei dati)
- 200.000 euro per violazione dell'articolo 34 GDPR (Notifica alle parti interessate)
Carrefour aveva ammesso una parziale responsabilità per la notifica inadeguata, ma aveva negato le altre accuse. Tuttavia, l'AEPD non ha accettato queste obiezioni e ha ritenuto che le misure di sicurezza attuate né sufficiente né tempestivo erano.
Fonte: L'AEPD multa Carrefour
23andMe: 2,31 milioni di sterline (Gran Bretagna)
L'autorità britannica per la protezione dei dati ICO (Information Commissioner's Office) ha multato l'azienda statunitense di diagnostica genetica 23andMe per 2,31 milioni di sterline (circa 2,7 milioni di euro). Il motivo: i dati sensibili di 155.592 utenti britannici sono stati compromessi in un attacco informatico su larga scala nel 2023. L'attacco ha sfruttato tecniche di credential stuffing, in cui le credenziali rubate da precedenti fughe di dati non correlate sono state utilizzate per ottenere l'accesso non autorizzato agli account degli utenti. Sono state esposte informazioni personali come nomi, anni di nascita, luoghi di residenza, immagini del profilo, etnia, alberi genealogici e dati sanitari.
L'ICO ha rilevato che 23andMe non aveva implementato misure di sicurezza adeguate per prevenire tali attacchi. In particolare, non aveva previsto ulteriori fasi di verifica per l'accesso e il download di informazioni genetiche grezze. Inoltre, l'azienda è stata lenta nel rispondere ai segnali di allarme: sebbene l'attacco sia iniziato nell'aprile 2023, un'indagine completa è stata avviata solo nell'ottobre 2023, dopo che un dipendente ha scoperto che i dati rubati venivano messi in vendita su Reddit.
Lo studio è stato condotto in collaborazione con il Commissario canadese per la protezione dei dati. Sottolinea l'importanza della cooperazione internazionale nella protezione dei dati. L'ICO ha sottolineato che la protezione dei dati personali sensibili, in particolare delle informazioni genetiche, deve essere una priorità assoluta e che le aziende sono tenute ad adottare adeguate misure di sicurezza per proteggere tali dati.
Fonte: Comunicato stampa dell'Information Commissioner's Office del 17 giugno 2025
Yliopiston Apteekki: 1,1 milioni di euro (Finlandia)
L'autorità finlandese per la protezione dei dati Tietosuojavaltuutetun toimisto ha multato la catena di farmacie Yliopiston Apteekki per 1,1 milioni di euro. Tra il maggio 2018 e il settembre 2022, l'azienda ha utilizzato tecnologie di tracciamento nel suo negozio online come Biscotti e strumenti di analisi, attraverso i quali i dati sensibili dei clienti venivano inoltrati a fornitori terzi come Google e Meta. Questi dati includevano informazioni sull'aggiunta di farmaci al carrello, sul clic sul pulsante dell'ordine, sugli indirizzi IP e su altre caratteristiche identificative. In particolare, se i clienti hanno effettuato l'accesso ai loro account Google o Facebook durante la visita al negozio online, questi fornitori terzi sono stati in grado di identificare direttamente gli utenti.
L'indagine è stata avviata dopo che uno studente di dottorato dell'Università di Turku ha evidenziato le carenze nella protezione dei dati delle farmacie online finlandesi. Yliopiston Apteekki ha interrotto l'uso di Google e delle tecnologie di meta-tracciamento nel settembre 2022, ma intende impugnare la decisione dell'Autorità per la protezione dei dati presso il Tribunale amministrativo.
L'autorità per la protezione dei dati ha sottolineato la particolare sensibilità di Dati sulla salute e la necessità di misure di protezione adeguate per garantire la fiducia dei clienti nelle farmacie online.
Dipartimento della protezione sociale: 550.000 euro (Irlanda)
Il 12 giugno 2025 la Commissione irlandese per la protezione dei dati (DPC) ha concluso la sua indagine sull'uso della tecnologia di riconoscimento facciale nell'ambito della registrazione SAFE 2 per la carta dei servizi pubblici (PSC) da parte del Dipartimento della protezione sociale (DSP). L'indagine, iniziata nel luglio del 2021, si è concentrata sui seguenti aspetti Elaborazione dati biometrici del volto e l'uso di tecnologie corrispondenti durante il processo di registrazione.
Il DPC ha riscontrato che il DSP ha violato diverse disposizioni del Regolamento generale sulla protezione dei dati (GDPR) si è infortunato:
- Articolo 5, paragrafo 1, lettera a), articolo 6, paragrafo 1, e articolo 9, paragrafo 1.Il DSP non è stato in grado di dimostrare l'esistenza di una base giuridica valida per la raccolta di dati biometrici in relazione all'iscrizione a SAFE 2.lui
- Articolo 5, paragrafo 1, lettera e)A causa della mancanza di una base giuridica, anche la memorizzazione di questi dati era illegale.
- Articolo 13, paragrafo 1, lettera c), e articolo 13, paragrafo 2, lettera a).Il Obbligo di informazione Gli obblighi nei confronti delle persone interessate non sono stati sufficientemente rispettati.
- Articolo 35, paragrafo 7, lettere b) e c)L'implementazione Valutazione dell'impatto sulla protezione dei dati era incompleto.
Di conseguenza, la DPC ha imposto una multa di 550.000 euro alla DSP e ha ordinato alla Ditta di Elaborazione dati biometrici nell'ambito della registrazione SAFE 2 entro nove mesi, a meno che non si possa dimostrare una base giuridica valida.
Il DPC ha sottolineato che i suoi risultati non fanno alcuna dichiarazione sull'introduzione fondamentale della registrazione SAFE 2, ma si riferiscono esclusivamente al rispetto dei requisiti di protezione dei dati.
Aristotelis Zervos è direttore editoriale di 2B Advice, avvocato e giornalista esperto di protezione dei dati, GDPRconformità informatica e governance dell'IA. Pubblica regolarmente articoli di approfondimento sulla regolamentazione dell'IA, sulla conformità al GDPR e sulla gestione del rischio. Per saperne di più su di lui, visitate il sito Pagina del profilo dell'autore.
German 
English 
Italian 
French