Multa salata dal Garante della Protezione dei dati personali | Poste e Postepay sanzionate per oltre 12 milioni di euro

Una maxi-sanzione complessiva di oltre 12 milioni di euro è stata irrogata dal Garante per la protezione dei dati personali a Poste Italiane S.p.A. e Postepay S.p.A. per il trattamento illecito dei dati personali di milioni di utenti. La decisione dell’Autorità arriva a seguito di un’istruttoria approfondita, avviata già nell’aprile del 2024, in risposta a numerose segnalazioni e reclami pervenuti dagli stessi utenti.Il fulcro dell’indagine ha riguardato specificamente il funzionamento delle popolari applicazioni BancoPosta e Postepay. Per poter utilizzare i servizi offerti da queste app, gli utenti erano tenuti a rilasciare un’autorizzazione obbligatoria al monitoraggio di una vasta gamma di dati presenti sui loro dispositivi mobili. Questo includeva non solo le applicazioni installate, ma anche quelle in esecuzione, con la finalità dichiarata di individuare potenziali software malevoli e prevenire frodi.

Le società coinvolte, Poste Italiane e Postepay, avevano giustificato tali trattamenti come misure necessarie per garantire la sicurezza delle operazioni bancarie e conformarsi alle rigorose normative vigenti in materia di servizi di pagamento. Tuttavia, la posizione del Garante ha messo in discussione la proporzionalità e la necessità di tali pratiche rispetto alla tutela della privacy degli individui.

Le ragioni della controversia: ingerenza eccessiva e violazioni

Il Garante della privacy ha fermamente contestato le modalità adottate da Poste Italiane e Postepay, rilevando un’ingerenza eccessivamente invasiva nella sfera privata degli utenti. Secondo l’Autorità, le pratiche di monitoraggio non si sono dimostrate strettamente necessarie per raggiungere gli obiettivi dichiarati di prevenzione delle frodi, rappresentando quindi una violazione dei principi fondamentali del Regolamento Generale sulla Protezione dei Dati (GDPR).

L’istruttoria ha messo in luce una serie di gravi carenze e violazioni della normativa. Tra queste, la prima e fondamentale problematica è stata l’incompletezza e l’inadeguatezza delle informative fornite agli utenti. Spesso, le informazioni sul trattamento dei dati erano poco chiare, incomplete o non sufficientemente trasparenti, impedendo agli utenti di esprimere un consenso pienamente consapevole e informato.

Un’altra violazione significativa riguarda l’assenza di un’adeguata valutazione di impatto sulla protezione dei dati (DPIA). Tale valutazione è uno strumento cruciale per identificare e mitigare i rischi per i diritti e le libertà delle persone fisiche derivanti da trattamenti di dati che potrebbero presentare un rischio elevato. La sua omissione ha evidenziato una mancanza di attenzione preventiva ai potenziali pericoli per la privacy degli utenti.

Inoltre, sono state riscontrate mancanze nell’adozione di misure di sicurezza adeguate per proteggere i dati raccolti, l’assenza di idonee politiche di conservazione dei dati – che avrebbero dovuto stabilire per quanto tempo i dati potevano essere mantenuti – e irregolarità nella designazione del responsabile del trattamento, una figura chiave per la conformità al GDPR.

---