L’Istituto federale per l’infrastruttura digitale (BfDI), Garante per la privacy tedesco, ha inflitto due pesanti sanzioni a Vodafone, per violazione del GDPR.
Finanziamenti e agevolazioni
Agricoltura
Da un lato, per mancato controllo della filiera dei responsabili; dall’altro, per carenza di misure di sicurezza.
Ecco i dettagli.
Garante privacy tedesco, due sanzioni a Vodafone: i motivi
Non passano inosservate le due multe inflitte a Vodafone GmbH, noto operatore telefonico, per un totale 45 milioni di euro per violazioni della privacy.
Lo si apprende da un recente comunicato, in cui Louisa Specht-Riemenschneider, l’attuale Commissaria federale per la protezione dei dati e la libertà di informazione – BfDI (acronimo tedesco che sta per Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, cioè il Garante per la privacy tedesco), denuncia “… il comportamento scorretto dei dipendenti delle agenzie partner che mediano contratti con i clienti per conto di Vodafone [dando] luogo a casi di frode, inclusi contratti fittizi o modifiche contrattuali a danno dei clienti”. Ma non solo.
Contestate due violazioni GDPR e perché
Il BfDI, diretto da Louisa Specht-Riemenschneider, ha inflitto una doppia sanzione a Vodafone GmbH per non aver controllato e monitorato adeguatamente le agenzie partner che lavorano per suo conto, in qualità di responsabili del trattamento (art. 28), e per non aver garantito adeguate misure di sicurezza (art. 32), rilevando delle vulnerabilità in alcuni sistemi di distribuzione. La prima sanzione è di 15 milioni di euro.
Vuoi bloccare la procedura esecutiva?
richiedi il saldo e stralcio
Secondo le ricostruzioni, alcuni dipendenti delle agenzie partner avrebbero utilizzato i dati dei clienti per firmare contratti fittizi o per cambiare le condizioni di quelli esistenti, senza alcuna autorizzazione.
Dunque, Vodafone non monitorava adeguatamente l’operato delle agenzie (art. 28, par. 1 GDPR).
L’altra sanzione per un importo di euro 30 milioni è attribuita ad accertate “falle di sicurezza nel processo di autenticazione durante l’utilizzo del portale online MeinVodafone in combinazione con la hotline Vodafone”, così scrive la Commissaria federale nel comunicato ufficiale.
Tra l’altro, vulnerabilità nell’autenticazione erano tali da consentire a terzi non autorizzati di accedere ai profili eSIM e (art. 32, par. 1 GDPR).
Vodafone: azione immediata e collaborazione piena
Vodafone ha iniziato prontamente a rivedere i processi di selezione/audit delle agenzie partner, distanziandosi da tutti quelli coinvolti nelle presunte frodi. Infatti, ha annullato i contratti con le agenzie responsabili dell’uso illecito dei dati, così da eliminare rischi di questo genere in futuro.
Inoltre, ha messo in atto piani di azione per migliorare i sistemi in termini di sicurezza. A dimostrazione che la protezione dei dati costituisce la massima priorità, ha agito, consolidando e modernizzando il comparto IT , così da rafforzare al contempo conformità – compliance/ protezione dati.
Le lezione da trarre
Da questa sanzione impariamo che oggi più che mai:
- i responsabili/data processor vanno selezionati e controllati con attenzione;
- la cyber sicurezza è essenziale, soprattutto per i servizi digitali.
Agendo subito e collaborando pienamente, Vodafone ha dato ampia dimostrazione di un’accountability robusta, dal momento che la società ha:
Mutuo 100% per acquisto in asta
assistenza e consulenza per acquisto immobili in asta
- accettato e versato subito all’erario gli importi contestati;
- avviato una ristrutturazione tecnica e organizzativa;
- rivisto i criteri di selezione e audit dei propri data processor;
- sostituito i responsabili del trattamento poco affidabili e rafforzato le funzioni di compliance alla data protection.
Ancora, a dimostrazione dell’importanza della protezione dei dati da parte di Vodafone, la società riferisce una lodevole iniziativa.
Infatti, ha donato “diversi milioni di euro a diverse organizzazioni impegnate nella promozione della protezione dei dati, delle competenze multimediali e dell’alfabetizzazione digitale, nonché nella lotta al cyber bullismo”.
Gli audit di follow-up dell’Autorità
Il Garante privacy tedesco effettuerà verifiche mirate volte a scandagliare tutte le misure adottate da Vodafone per sopperire alle mancanze finora riscontrate.
Infatti, sempre nel comunicato si evince come l’Istituto federale per la sicurezza informatica (BfDI) condurrà audit di follow-up, al fine di valutare l’efficacia pratica delle misure implementate da Vodafone.
Il parere della Garante Privacy tedesca sul caso Vodafone
La Commissaria, a capo dell’Autorità, ha apprezzato la collaborazione di Vodafone “…in modo costante e senza restrizioni durante l’intero procedimento”, rappresentando fatti/circostanze anche scomode per l’impresa stessa.
Ma Vodafone, prosegue la Commissaria, non rappresenta un episodio isolato dal momento che “l’esperienza dell’Autorità per la protezione dei dati dimostra come le aziende di molti settori stiano riscontrando un arretrato negli investimenti per la modernizzazione e il consolidamento dei sistemi IT”. Purtroppo.
Così, conclude la Commissaria: “… laddove si verifichino violazioni della protezione dei dati, è necessario imporre sanzioni. Tuttavia, con il mio lavoro, voglio anche garantire che tali violazioni non si verifichino affatto”.
Dilazione debiti
Saldo e stralcio
Ancora una volta, attraverso questa autorevole testimonianza, osserviamo il reale ruolo che un’Autorità deve avere: non l’oracolo di Delfi, ma un Garante del trattamento dei dati che sanziona in extrema ratio, quando le scelte del titolari, nel gestire le attività di trattamento ,non si sono rivelati adeguatamente conformi al dettato normativo.
Garante privacy a Vodafone: occorre investire invece di rischiare
Maggiori saranno gli investimenti nell’IT, maggiore sarà la protezione dei dati. Questo caso ci insegna, ancora una volta, che la protezione dei dati è un fattore di fiducia per gli utenti dei servizi digitali e può quindi trasformarsi in un vantaggio competitivo.
D’altronde, l’incessante sviluppo tecnologico e gli scenari di minaccia più complessi possono, sì, determinare maggiori rischi per i clienti/utenti, danneggiati dalla mancanza della protezione dei dati.
Ne consegue che la protezione dei dati, troppo spesso ancora ed erroneamente, viene considerata un ostacolo agli investimenti IT. Ma in realtà, è vero il contrario: “Senza investimenti IT, gli incidenti di sicurezza e […] le sanzioni da parte delle Autorità di regolamentazione della protezione dei dati rappresentano una minaccia”.
Così, chiosa l’accorato appello della Commissaria: “investire invece di rischiare!”.
Opportunità uniche acquisto in asta
ribassi fino al 70%
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
