A autoridade italiana de proteção de dados multou duas empresas de serviços postais em mais de €12,5 milhões após determinar que seus aplicativos móveis coletaram dados de usuários de forma que violava as normas de privacidade.
As multas foram aplicadas à Poste Italiane SpA, uma provedora estatal de serviços postais e financeiros, e sua subsidiária de pagamentos digitais Postepay SpA. A Poste Italiane foi multada em €6,6 milhões, enquanto a Postepay recebeu uma multa de €5,9 milhões após uma investigação sobre suas práticas de processamento de dados.
A investigação começou em abril de 2024 após as autoridades receberem reclamações sobre como os aplicativos móveis das empresas funcionavam. A investigação focou em aplicativos usados em serviços financeiros, incluindo BancoPosta e Postepay, amplamente utilizados para pagamentos e gestão de contas na Itália.
Segundo o regulador, os aplicativos exigiam que os usuários permitissem o monitoramento dos dados armazenados em seus dispositivos móveis como condição para acessar os serviços. Isso incluía informações sobre aplicativos instalados e em execução, bem como outros dados relacionados a dispositivos usados para avaliar potenciais riscos de segurança.
As empresas afirmaram que essas medidas tinham como objetivo detectar softwares maliciosos e prevenir fraudes, citando conformidade com as regulamentações de serviços de pagamento. No entanto, a autoridade italiana de proteção de dados constatou que o nível de monitoramento ultrapassava o necessário para fins de segurança.
Os reguladores descreveram os métodos de coleta de dados como excessivamente intrusivos e determinaram que não atendiam aos requisitos de proporcionalidade previstos nas leis de proteção de dados. A autoridade também afirmou que os usuários não receberam informações suficientes sobre como seus dados estavam sendo processados.
Descobertas adicionais incluíram falhas na implementação de salvaguardas de segurança adequadas e a retenção dos dados coletados por mais tempo do que o permitido pelas regulamentações aplicáveis.
Análises separadas do sistema indicaram que os aplicativos poderiam coletar identificadores ligados aos aplicativos instalados e ao comportamento dos dispositivos, que poderiam ser usados para inferir informações detalhadas sobre os usuários. O regulador concluiu que esse tipo de processamento de dados poderia envolver informações pessoais sensíveis e exigiria controles mais rigorosos.
A ação de fiscalização está entre as maiores penalidades aplicadas pela autoridade italiana de proteção de dados nos últimos anos. As autoridades não indicaram se sanções adicionais ou medidas corretivas serão seguidas.