De Italiaanse gegevensbeschermingsautoriteit heeft twee postdiensten een boete opgelegd van meer dan €12,5 miljoen nadat zij vaststelden dat hun mobiele applicaties gebruikersgegevens verzamelden op een manier die in strijd was met privacywetgeving.
De boetes werden opgelegd aan Poste Italiane SpA, een door de staat gecontroleerde post- en financiële dienstverlener, en haar digitale betalingsdochteronderneming Postepay SpA. Poste Italiane kreeg een boete van €6,6 miljoen, terwijl Postepay een boete van €5,9 miljoen kreeg na een onderzoek naar haar gegevensverwerkingspraktijken.
Het onderzoek begon in april 2024 nadat de autoriteiten klachten ontvingen over hoe de mobiele applicaties van de bedrijven werkten. Het onderzoek richtte zich op apps die worden gebruikt voor financiële diensten, waaronder BancoPosta en Postepay, die veel worden gebruikt voor betalingen en rekeningbeheer in Italië.
Volgens de toezichthouder vereisten de applicaties dat gebruikers monitoring van gegevens die op hun mobiele apparaten zijn opgeslagen toestaan als voorwaarde om toegang te krijgen tot diensten. Dit omvatte informatie over geïnstalleerde en draaiende applicaties, evenals andere apparaatgerelateerde gegevens die werden gebruikt om potentiële beveiligingsrisico’s te beoordelen.
De bedrijven verklaarden dat deze maatregelen bedoeld waren om kwaadaardige software te detecteren en fraude te voorkomen, met als verwijzing naar naleving van betalingsdienstregels. De Italiaanse gegevensbeschermingsautoriteit stelde echter vast dat het niveau van monitoring verder ging dan wat noodzakelijk was voor beveiligingsdoeleinden.
Toezichthouders beschreven de methoden van gegevensverzameling als buitensporig ingrijpend en concludeerden dat ze niet voldeden aan de eisen van proportionaliteit volgens de gegevensbeschermingswetgeving. De autoriteit stelde ook dat gebruikers niet voldoende informatie kregen over hoe hun gegevens werden verwerkt.
Aanvullende bevindingen waren onder meer het niet implementeren van adequate beveiligingsmaatregelen en het langer dan toegestaan volgens de toepasselijke regelgeving verzamelde gegevens werden bewaard.
Een aparte analyse van het systeem wees uit dat de apps identificaties konden verzamelen die gekoppeld zijn aan geïnstalleerde applicaties en apparaatgedrag, die gebruikt konden worden om gedetailleerde informatie over gebruikers af te leiden. De toezichthouder concludeerde dat dergelijke gegevensverwerking gevoelige persoonlijke informatie kon omvatten en strengere controles vereiste.
De handhavingsmaatregel behoort tot de zwaardere sancties die de Italiaanse gegevensbeschermingsautoriteit de afgelopen jaren heeft opgelegd. De autoriteiten hebben niet aangegeven of er aanvullende sancties of corrigerende maatregelen zullen volgen.