12,5 milioni di euro è la sanzione inflitta dal Garante della Privacy a Poste Italiane e PostePay. Il cuore della questione non è un semplice data breach, ma un'accusa ben più complessa: trasformare un'app di home banking in un sistema di monitoraggio degli smartphone degli utenti. Il Garante ha contestato l'accesso obbligatorio a tutte le app installate sul dispositivo, giustificato da Poste come misura di sicurezza per prevenire frodi secondo la Direttiva Europea sui pagamenti, la PSD2. Tuttavia, il Garante ha sottolineato che una finalità legittima non giustifica qualsiasi mezzo, evidenziando un principio chiave del GDPR: la minimizzazione dei dati.
Il provvedimento del Garante ha messo in luce il fenomeno del "Function Creep", dove le funzioni di un sistema si espandono oltre lo scopo originario. Poste ha giustificato il monitoraggio come necessario per la sicurezza, ma il Garante ha ribadito che la sicurezza non può essere un pretesto per raccogliere dati in modo sproporzionato. La base giuridica invocata da Poste, l'obbligo legale, è stata smontata, indicando che il consenso degli utenti o una valutazione del legittimo interesse sarebbero stati più appropriati. Questo caso rappresenta un cambio di passo, sfidando l'idea che la sicurezza possa giustificare qualsiasi trattamento di dati.
Il principio di "privacy by design" emerge come cruciale in questo contesto, richiedendo che la protezione dei dati sia integrata fin dalla progettazione dei sistemi. Il provvedimento del Garante invita a una riflessione profonda sulla sicurezza e la privacy, dimostrando che la sorveglianza estensiva non è sinonimo di sicurezza. La responsabilità individuale diventa un superpotere, un modo per esercitare i propri diritti e contestare scelte progettuali pigre. La lezione appresa da Poste potrebbe costare caro ad altre fintech, costrette a ripensare i loro sistemi antifrode per garantire il rispetto del GDPR.
In questa Puntata
Poste Italiane ti spia per proteggerti? Scopri la multa shock e il dibattito sulla privacy.