L’Autorità Garante per la protezione dei dati personali ha concluso un’istruttoria relativa alla gestione delle informazioni degli utenti da parte del Gruppo Poste Italiane. Il provvedimento ha determinato l’irrogazione di due distinte sanzioni amministrative pecuniarie. La prima, dell’importo di 6.624.000 euro, è stata notificata a Poste Italiane S.p.A., mentre la seconda, pari a 5.877.000 euro, ha riguardato la società Postepay S.p.A..
L’attività di verifica è stata avviata nel mese di aprile 2024 a seguito del ricevimento di diverse segnalazioni e reclami formali. Gli accertamenti si sono concentrati sulle caratteristiche tecniche e sulle procedure di autorizzazione integrate nelle applicazioni per dispositivi mobili BancoPosta e Postepay. Tali piattaforme richiedevano l’accesso sistematico ai dati dei terminali per poter erogare i servizi finanziari digitali ai clienti.
Il monitoraggio delle applicazioni e le finalità di sicurezza
Il sistema analizzato dall’Autorità prevedeva che l’utente fornisse un’autorizzazione obbligatoria per il monitoraggio dei dati contenuti nello smartphone. Nello specifico, le procedure software consentivano l’individuazione degli applicativi installati e di quelli in esecuzione sul sistema operativo. Secondo le memorie difensive presentate da Poste Italiane e Postepay, questa attività era finalizzata all’individuazione di potenziali software malevoli che avrebbero potuto compromettere l’integrità delle transazioni economiche.
Le società hanno sostenuto che tale trattamento fosse necessario per adempiere agli obblighi di sicurezza previsti dalla normativa europea e nazionale sui servizi di pagamento. Tuttavia, l’analisi tecnica condotta dagli uffici del Garante ha evidenziato che le modalità di raccolta dei dati risultavano eccessivamente invasive. L’ingerenza nella sfera privata dei cittadini è stata giudicata non proporzionata rispetto al reale obiettivo di prevenzione delle frodi informatiche.
Violazioni procedurali e obblighi di adeguamento al regolamento
L’istruttoria ha portato alla luce ulteriori criticità riguardanti la conformità al regolamento generale sulla protezione dei dati. Tra le irregolarità contestate figurano carenze strutturali nelle informative fornite alla clientela e l’assenza della valutazione di impatto sulla protezione dei dati, comunemente nota come DPIA. Tali documenti sono requisiti fondamentali per garantire che il trattamento dei dati personali avvenga nel rispetto dei diritti dei soggetti interessati.
Oltre alle mancanze documentali, l’Autorità ha rilevato l’adozione di politiche di conservazione dei dati non idonee e anomalie nella designazione formale del responsabile del trattamento. In aggiunta al pagamento delle sanzioni, il Garante ha ordinato l’immediata cessazione delle condotte oggetto di contestazione e ha imposto alle società di aggiornare le proprie procedure interne. Poste Italiane e Postepay dovranno ora comunicare formalmente all’Autorità le misure intraprese per uniformarsi alle prescrizioni ricevute.
