Πρόστιμο 12.5 εκατ. ευρώ στα ιταλικά ταχυδρομεία για πολλαπλές παραβάσεις από τη λειτουργία εφαρμογών για κινητό

Πρόστιμα συνολικού ύψους άνω των 12,5 εκατ. ευρώ επέβαλε η ιταλική αρχή προστασίας δεδομένων Garante σε βάρος των εταιρειών Poste Italiane S.p.A. και Postepay S.p.A., οι οποίες δραστηριοποιούνται στον τομέα των ταχυδρομικών, χρηματοοικονομικών και υπηρεσιών πληρωμών, κρίνοντας ότι η επεξεργασία προσωπικών δεδομένων μέσω των εφαρμογών BancoPosta και PostePay πραγματοποιήθηκε κατά παράβαση του ΓΚΠΔ και της εθνικής νομοθεσίας για την προστασία δεδομένων.

Η Poste Italiane αποτελεί τον εθνικό ταχυδρομικό φορέα της Ιταλίας και παρέχει, πέραν των παραδοσιακών ταχυδρομικών υπηρεσιών, ευρύ φάσμα χρηματοοικονομικών υπηρεσιών, όπως τραπεζικές εργασίες, αποταμιευτικά προϊόντα και ασφαλιστικές υπηρεσίες. Η Postepay είναι θυγατρική της και δραστηριοποιείται ειδικότερα στον τομέα των ηλεκτρονικών πληρωμών, περιλαμβανομένης της έκδοσης προπληρωμένων καρτών, της παροχής ψηφιακών πορτοφολιών και της διαχείρισης συναλλαγών μέσω κινητών εφαρμογών.

Η Garante επελήφθη της υπόθεσης, μετά από δεκάδες καταγγελίες που υποβλήθηκαν από τον Απρίλιο του 2024, με τις οποίες οι χρήστες ανέφεραν ότι κατά την πρόσβαση στις εφαρμογές καλούνταν να ενεργοποιήσουν υποχρεωτικά την πρόσβαση της εφαρμογής στα «δεδομένα χρήσης» της συσκευής τους. Στο σχετικό μήνυμα επισημαινόταν ότι, σε περίπτωση μη ενεργοποίησης, η χρήση της εφαρμογής θα περιοριζόταν σε τρεις εισόδους, μετά τις οποίες η λειτουργικότητα θα αναστελλόταν. Μέσω της ρύθμισης αυτής, οι εφαρμογές αποκτούσαν πρόσβαση σε δεδομένα σχετικά με τις εγκατεστημένες και ενεργές εφαρμογές, τη συχνότητα χρήσης τους, καθώς και άλλα τεχνικά στοιχεία της συσκευής.

Οι εταιρείες υποστήριξαν ότι η επεξεργασία ήταν αναγκαία για τη διασφάλιση ων συναλλαγών και την πρόληψη απάτης, στο πλαίσιο των υποχρεώσεων που απορρέουν από τη νομοθεσία για τις υπηρεσίες πληρωμών και ιδίως την οδηγία PSD2 και τα τεχνικά πρότυπα της Ευρωπαϊκής Αρχής Τραπεζών. Το σύστημα ThreatMetrix, μια πλατφόρμα ανίχνευσης απάτης που βασίζεται στην ανάλυση του λεγόμενου “αποτυπώματος” της συσκευής (device fingerprinting), αξιολογούσε τον κίνδυνο κάθε συναλλαγής μέσω συλλογής και επεξεργασίας δεδομένων από τη συσκευή του χρήστη και εντοπισμού πιθανής παρουσίας κακόβουλου λογισμικού.

Κατά την έρευνά της, η ιταλική αρχή διαπίστωσε ότι η συλλογή δεδομένων περιλάμβανε πληροφορίες για τις εφαρμογές που είναι εγκατεστημένες ή εκτελούνται στη συσκευή του χρήστη, οι οποίες, ακόμη και σε μορφή hash, διατηρούν τον χαρακτήρα προσωπικών δεδομένων, καθώς μπορούν να συνδεθούν με συγκεκριμένο πρόσωπο και να αποκαλύψουν στοιχεία της ιδιωτικής του ζωής.

Ως προς το νομικό πλαίσιο, η Garante έκρινε ότι η πρόσβαση σε πληροφορίες αποθηκευμένες στη συσκευή υπάγεται στο ειδικό καθεστώς της οδηγίας ePrivacy και της εθνικής διάταξης που την ενσωματώνει, σύμφωνα με την οποία τέτοια πρόσβαση επιτρέπεται χωρίς συγκατάθεση μόνο εφόσον είναι απολύτως αναγκαία για την παροχή της υπηρεσίας. Στην προκειμένη περίπτωση, διαπιστώθηκε ότι η συλλογή δεδομένων υπερέβαινε το αναγκαίο μέτρο και, ως εκ τούτου, πραγματοποιήθηκε κατά παράβαση της ιταλικής νομοθεσίας.

Περαιτέρω, η αρχή έκρινε ότι η επεξεργασία δεν στηριζόταν σε έγκυρη νομική βάση κατά το άρθρο 6 παρ. 1 ΓΚΠΔ, απορρίπτοντας τον ισχυρισμό ότι αυτή θεμελιώνεται σε νομική υποχρέωση, καθώς οι διατάξεις της νομοθεσίας για τις υπηρεσίες πληρωμών που επικαλέστηκαν οι εταιρείες δεν προσδιορίζουν ειδικώς τα επίμαχα δεδομένα ούτε τις συγκεκριμένες πράξεις επεξεργασίας, ούτε καθορίζουν με σαφή και προβλέψιμο τρόπο τις προϋποθέσεις υπό τις οποίες αυτά μπορούν να υποβληθούν σε επεξεργασία για σκοπούς πρόληψης απάτης. Επιπλέον, διαπιστώθηκε παραβίαση των αρχών της νομιμότητας, διαφάνειας και αντικειμενικότητας της επεξεργασίας, καθώς και των υποχρεώσεων ενημέρωσης των υποκειμένων, κατά παράβαση των άρθρων 5 παρ. 1 στοιχ. α ́ και 13 του ΓΚΠΔ.

Οι διαπιστώσεις της Garante δεν σταματούσαν όμως μόνο εκεί. Σύμφωνα με την απόφασή της, για τη λειτουργία των εφαρμογών δεν τηρήθηκαν οι απαιτήσεις προστασίας δεδομένων από τον σχεδιασμό και εξ ορισμού, ούτε διενεργήθηκε κατάλληλη εκτίμηση αντικτύπου για την επίμαχη επεξεργασία, κατά παράβαση των άρθρων 25 και 35 ΓΚΠΔ. Παράλληλα, εντοπίστηκαν ελλείψεις ως προς τον ορισμό και την εποπτεία των εκτελούντων την επεξεργασία, κατά παράβαση του άρθρου 28 ΓΚΠΔ, καθώς και ως προς τα μέτρα ασφάλειας και την τήρηση της αρχής περιορισμού της περιόδου διατήρησης, κατά παράβαση των άρθρων 32 και 5 παρ. 1 στοιχ. ε ́ αντίστοιχα.

Με βάση τα ανωτέρω, η ιταλική αρχή κατέληξε ότι η επεξεργασία πραγματοποιήθηκε κατά παράβαση των άρθρων 5, 6, 13, 25, 28, 32 και 35 του ΓΚΠΔ, καθώς και του άρθρου 122 της εθνικής νομοθεσίας. Κατόπιν τούτου, επέβαλε διοικητικά πρόστιμα ύψους 6.624.000 ευρώ στην Poste Italiane S.p.A. και 5.877.000 ευρώ στην Postepay S.p.A., λαμβάνοντας υπόψη τη σοβαρότητα των παραβάσεων, τον αριθμό των επηρεαζόμενων χρηστών και τον βαθμό ευθύνης των εταιρειών.

Πέραν του προστίμου, η Garante διέταξε τη διακοπή της επεξεργασίας που αφορά τη συλλογή δεδομένων σχετικά με τις εγκατεστημένες και ενεργές εφαρμογές στις συσκευές των χρηστών, καθώς και τη συμμόρφωση των εταιρειών με τις απαιτήσεις περί καθορισμού συγκεκριμένων χρονικών ορίων διατήρησης των δεδομένων.