İtalya’nın veri koruma kurumu, mobil uygulamalarının kullanıcı verilerini gizlilik düzenlemelerini ihlal eden şekilde topladığını tespit eden iki posta hizmeti şirketinin 12,5 milyon €’den fazla para cezası verdi.
Cezalar, devlet kontrolündeki posta ve finansal hizmetler sağlayıcısı Poste Italiane SpA ile dijital ödemeler yan kuruluşu Postepay SpA’ya verildi. Poste Italiane 6,6 milyon € para cezası alırken, Postepay veri işleme uygulamalarıyla ilgili soruşturma sonucunda 5,9 milyon € ceza aldı.
Soruşturma, yetkililerin şirketlerin mobil uygulamalarının nasıl çalıştığıyla ilgili şikayetler almasının ardından Nisan 2024’te başladı. Soruşturma, İtalya’da ödeme ve hesap yönetimi için yaygın olarak kullanılan BancoPosta ve Postepay gibi finansal hizmetler için kullanılan uygulamalara odaklandı.
Düzenleyiciye göre, uygulamalar kullanıcıların hizmetlere erişim şartı olarak mobil cihazlarında depolanan verilerin izlenmesine izin vermesini gerektiriyordu. Bu, kurulu ve çalışan uygulamalar hakkında bilgilerin yanı sıra potansiyel güvenlik risklerini değerlendirmek için kullanılan diğer cihazla ilgili verileri de içeriyordu.
Şirketler, bu önlemlerin kötü amaçlı yazılımı tespit etmek ve dolandırıcılığı önlemek amacıyla olduğunu, ödeme hizmeti düzenlemelerine uyumu gerekçe göstererek belirtti. Ancak İtalyan veri koruma otoritesi, izleme seviyesinin güvenlik açısından gerekenin ötesine geçtiğini tespit etti.
Düzenleyiciler, veri toplama yöntemlerini aşırı müdahaleci olarak nitelendirdi ve veri koruma yasaları kapsamındaki orantılılık gerekliliklerini karşılamadıklarını belirledi. Otorite ayrıca kullanıcıların verilerinin nasıl işlendiği hakkında yeterli bilgi verilmediğini belirtti.
Ek bulgular arasında yeterli güvenlik önlemlerinin uygulanamaması ve toplanan verilerin geçerli düzenlemelerle izin verilenden daha uzun süre saklanması yer aldı.
Sistemin ayrı analizi, uygulamaların yüklenen uygulamalar ve cihaz davranışlarıyla bağlantılı tanımlayıcıları toplayabildiğini ve bunun kullanıcılar hakkında ayrıntılı bilgi çıkarmak için kullanılabileceğini gösterdi. Düzenleyici, bu tür veri işlemenin hassas kişisel bilgileri içerebileceği ve daha sıkı kontroller gerektirdiği sonucuna vardı.
Bu uygulama, son yıllarda İtalya’nın veri koruma otoritesi tarafından çıkarılan daha büyük cezalardan biri. Yetkililer, ek yaptırımların veya düzeltici önlemlerin uygulanıp uygulanmayacağını belirtmedi.