La notizia è arrivata dalla Germania, dove è esploso un caso che ha attirato l’attenzione di media e istituzioni: il Garante per la privacy tedesco (BfDI – Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) ha inflitto a Vodafone una multa pesantissima, dopo aver rilevato molte criticità nella gestione dei dati personali.
La vicenda dimostra, ancora una volta, che la questione della privacy e del trattamento dei dati personali è tutt'altro secondaria, sicché le società non possono abusarne e trarne un vantaggio.
1. L'origine delle sanzioni
a) Controllo carente sui partner commerciali (15 milioni €)
Alla base dell'indagine avviata dal Garante vi sono le numerose segnalazioni provenienti dai clienti, i quali hanno lamentato la stipula di contratti o modifiche non autorizzate tramite agenzie esterne incaricate da Vodafone.
All'esito dell'indagine, l'Autorità garante queste agenzie avevano creato contratti falsi o modifiche fittizie senza consenso, sfruttando la scarsa supervisione da parte del gestore tedesco
La violazione delle norme privacy ha comportato una sanzione di euro 15.000.000,00 a carico di Vodafone.
b) Lacune nella sicurezza del portale “MeinVodafone” e della hotline
La parte più consistente della multa (30 milioni €) è dovuta a gravi falle nel sistema di autenticazione integrato tra il portale web “MeinVodafone” e la hotline.
Queste vulnerabilità permettevano ad attori non autorizzati di ottenere il controllo degli eSIM-profilo dei clienti, rubando numeri di telefono e potenzialmente facilitando phishing o frodi
Questo ha rappresentato una violazione dell’art. 32 GDPR, relativo alla sicurezza dei dati personali, con conseguente sanzione a carico del colosso della telefonia.
2. La reazione di Vodafone
Vodafone ha accettato l’intero importo senza opporsi e ha già versato la somma nelle casse federali tedesche, preferendo una condotta collaborativa con l’autorità durante l’indagine e conseguente ammissione delle proprie criticità.
L'azienda ha già annunciato di aver avviato una attività di ristrutturazione dei processi con rivenditori esterni, separandosene quando necessari, nonché un rafforzamento delle misure di sicurezza (autenticazione, controlli).
Vodafone ha deciso di promuovere, inoltre, iniziative di sensibilizzazione sulla privacy, con progetti per la protezione dei dati e l’educazione digitale.
Nessun commento:
Posta un commento