Maxi sanzione del Garante Privacy a Poste Italiane e Postepay: cosa è successo davvero e in che modo controllavano gli smartphone degli utenti?
Il Garante per la protezione dei dati personali (GPDP) ha inflitto una sanzione di 6.624.000 euro a Poste Italiane S.p.A. e una di 5.877.000 euro a Postepay S.p.A., per un totale complessivo di oltre 12,5 milioni di euro, per il trattamento illecito dei dati personali di milioni di utenti, ma non è tanto il perchè ad attirare l’attenzione del Garante della Privacy, quanto il modo e a cosa avessero accesso le app di Poste Italiane.
L’istruttoria è partita grazie a numerose segnalazioni e reclami ricevuti a partire da aprile 2024 e riguarda, in particolare, il funzionamento delle app BancoPosta e Postepay.
Poste Italiane ha motivato le sue azioni tirando in ballo la sicurezza digitale ma, malgrado il nobile scopo che non è oggetto di contestazione da parte del Garante, il modo con cui hanno perseguito questo obiettivo è risultato invasivo, illecito e lesivo per gli utenti.
Come Poste Italiane controllava il tuo smartphone
Le app di Poste Italiane, nello specifico Bancoposta e Postepay, imponevano agli utenti di autorizzare il monitoraggio del proprio dispositivo, condizione obbligatoria per l’utilizzo del servizio in app.
Il monitoraggio includeva:
- le app installate
- quelle in esecuzione
- alcune informazioni utili a individuare eventuali software malevoli
Secondo Postepay e BancoPosta, si trattava di misure necessarie per prevenire frodi e garantire la sicurezza delle operazioni.
Il Garante ha però ritenuto che queste attività fossero eccessive rispetto allo scopo. In altre parole, per proteggere gli utenti non era necessario arrivare a un livello di controllo così ampio sul loro telefono, violando uno dei principi fondamentali del GDPR che prevede la raccolta di dati personali, ma solo quelli strettamente necessari.
Un consenso….obbligato!
Un altro punto critico riguarda il consenso richiesto agli utenti. Per utilizzare le app, infatti, era obbligatorio accettare questo monitoraggio, senza possibilità alcuna di rifiutare il consenso.
La normativa europea, a tal proposito, prevede che:
- il consenso deve essere libero e facoltativo
- non può essere imposto come condizione per accedere a un servizio, se non è indispensabile
In questo caso, il Garante ha ritenuto che il consenso fosse di fatto “forzato”, e quindi non valido.
Informazioni poco chiare agli utenti
Durante l’istruttoria sono emerse anche carenze nella trasparenza. Infatti, le informative privacy non spiegavano in modo chiaro e completo quali dati venissero raccolti e, soprattutto,non permettevano agli utenti di comprendere pienamente cosa stesse accadendo sul proprio dispositivo.
Anche questa mancanza di chiarezza nelle informazioni fornite costituisce una violazione del principio di trasparenza, altro pilastro del GDPR.
Le altre criticità rilevate
Oltre agli aspetti più evidenti, il Garante ha individuato ulteriori problemi organizzativi e tecnici:
- mancanza o insufficienza della valutazione d’impatto sulla protezione dei dati (DPIA)
- misure di sicurezza non adeguate
- gestione non corretta dei tempi di conservazione dei dati
- irregolarità nella designazione dei responsabili del trattamento
Questi elementi hanno contribuito ad aggravare la posizione delle società.
Perché una sanzione così elevata
L’importo complessivo della multa è particolarmente alto per diversi motivi:
- il numero di utenti coinvolti è molto ampio
- i dati riguardano dispositivi personali, quindi una sfera altamente sensibile
- le violazioni non sono singole, ma multiple e strutturali
Il risultato è stata una doppia sanzione: oltre 6,6 milioni a Poste Italiane e circa 5,9 milioni a Postepay.
Cosa cambia ora
Oltre alla multa, l’Autorità ha ingiunto alle società di cessare i trattamenti oggetto di contestazione, ove non vi abbiano già provveduto, e di adeguarsi alle prescrizioni in materia di conservazione dei dati, dandone comunicazione al Garante.
Nello specifico, ha imposto alle società di cessare immediatamente i trattamenti non conformi, provvedere ad un tempestivo adeguamento alle regole sulla conservazione dei dati e rivedere le modalità di raccolta e gestione delle informazioni. Tradotto in parole povere, Postepay e BancoPosta dovranno modificare le app in uso ai clienti per rispettare pienamente la normativa.
Questa decisione chiarisce un principio importante: la sicurezza non giustifica qualsiasi forma di raccolta dati e che le aziende, pur conservando il diritto di proteggere i propri servizi, devono farlo in modo proporzionato, trasparente e rispettoso della privacy degli utenti
Quando questo equilibrio viene meno, anche un obiettivo legittimo può trasformarsi in una violazione.
Potrebbe interessarti anche:
Banca Intesa Sanpaolo nuova multa colossale per accessi indebiti alle informazioni bancarie
Intesa Sanpaolo: colossale multa per violazione di dati personali di milioni di correntisti
Privacy online: nasce un patto educativo tra Garante e Carabinieri
