La autoridad italiana de protección de datos ha multado a dos empresas postales con más de 12,5 millones de euros tras determinar que sus aplicaciones móviles recogían datos de usuarios de una manera que violaba las normativas de privacidad.
Las sanciones se impusieron a Poste Italiane SpA, un proveedor estatal de servicios postales y financieros, y a su filial de pagos digitales Postepay SpA. Poste Italiane fue multada con 6,6 millones de euros, mientras que Postepay recibió una multa de 5,9 millones de euros tras una investigación sobre sus prácticas de procesamiento de datos.
La investigación comenzó en abril de 2024 tras recibir quejas de las autoridades sobre cómo funcionaban las aplicaciones móviles de las compañías. La investigación se centró en aplicaciones utilizadas para servicios financieros, como BancoPosta y Postepay, que se emplean ampliamente para pagos y gestión de cuentas en Italia.
Según el regulador, las aplicaciones exigían a los usuarios permitir la monitorización de los datos almacenados en sus dispositivos móviles como condición para acceder a los servicios. Esto incluía información sobre aplicaciones instaladas y en ejecución, así como otros datos relacionados con dispositivos utilizados para evaluar posibles riesgos de seguridad.
Las empresas afirmaron que estas medidas tenían como objetivo detectar software malicioso y prevenir fraudes, citando el cumplimiento de las normativas de servicios de pago. Sin embargo, la autoridad italiana de protección de datos constató que el nivel de monitorización superaba lo necesario para fines de seguridad.
Los reguladores describieron los métodos de recogida de datos como excesivamente intrusivos y determinaron que no cumplían los requisitos de proporcionalidad bajo las leyes de protección de datos. La autoridad también indicó que no se proporcionó a los usuarios información suficiente sobre cómo se estaban procesando sus datos.
Hallazgos adicionales incluyeron la falta de implementación de salvaguardas de seguridad adecuadas y la retención de los datos recogidos durante más tiempo del permitido por la normativa aplicable.
Un análisis separado del sistema indicó que las aplicaciones podían recopilar identificadores vinculados a las aplicaciones instaladas y al comportamiento de los dispositivos, que podían usarse para inferir información detallada sobre los usuarios. El regulador concluyó que dicho procesamiento de datos podría implicar información personal sensible y requería controles más estrictos.
La acción de ejecución es una de las sanciones más severas impuestas por la autoridad italiana de protección de datos en los últimos años. Las autoridades no han indicado si se seguirán sanciones adicionales o medidas correctivas.