Sbagliando si impara o così parrebbe. Questa volta la lezione va a Poste Italiane e Postepay sanzionate dal Garante per la protezione dei dati personali per un importo complessivo di oltre 12,5 milioni di euro per aver trattato in modo non lecito i dati personali di milioni di utenti.
Il provvedimento arriva a conclusione di un’istruttoria avviata in seguito ai numerosi reclami che gli stessi utenti/interessati hanno rivolto all’Autorità, segnalando diverse anomalie sulle modalità di funzionamento delle app BancoPosta e Postepay.
Indice degli argomenti
Sanzioni privacy a Poste e PostePay: i punti centrali
L’istruttoria del Garante privacy, come si evince dalla lettura del provvedimento, è stata articolata e complessa.
In estrema sintesi, le applicazioni in questione “prevedevano, quale condizione obbligatoria per l’utilizzo dei servizi, il rilascio da parte degli utenti di un’autorizzazione al monitoraggio di una serie di dati contenuti nei dispositivi mobili, incluse le applicazioni installate e in esecuzione, al fine di individuare eventuali software malevoli”.
La Società al riguardo adduceva in difesa che si trattava di trattamenti necessari al fine di “garantire la sicurezza delle operazioni e conformarsi alla normativa in materia di servizi di pagamento”.
Evidentemente dall’intera attività istruttoria emergeva invece che “le modalità adottate comportavano un’ingerenza eccessivamente invasiva nella sfera privata degli utenti” non certo “strettamente necessarie rispetto alle finalità di prevenzione delle frodi”.
E qui sta il cuore del provvedimento come andiamo nel seguito a vedere.
I fatti che hanno portato alle sanzioni privacy a Poste e PostePay
Anzitutto le circostanze di fatto. Dalla lettura del provvedimento notiamo come tra aprile e maggio di due anni fa (2024) pervenivano al Garante circa 140 segnalazioni e 12 reclami con cui gli utenti delle app Bancoposta e PostePay lamentavano di aver ricevuto un messaggio di invito ad “autorizzare l’app ad accedere ai dati per rilevare la presenza di eventuali software dannosi”.
Tale autorizzazione si rendeva necessaria, quindi rappresentava una “opzione obbligatoria” da “attivare immediatamente e che, in caso di mancata attivazione, sarebbe stato possibile effettuare un numero massimo di tre accessi, oltre i quali l’operatività dell’app sarebbe stata inibita”.
Il tutto, come si legge testualmente, “allo scopo di monitorare le applicazioni utilizzate e la loro relativa frequenza d’uso, nonché di identificare il gestore telefonico, le impostazioni relative alla lingua e altri dati di utilizzo”.
La contitolarità e la tipologia di trattamento
Ricordiamo che Poste Italiane e PostePay si sono qualificati, nell’assetto privacy, per l’attività di trattamento in questione “contitolari” (art. 26 GDPR).
Sulla tipologia di trattamento emerge come l’attività di trattamento – principalmente il monitoraggio antifrode – fosse necessaria al fine di “fornire tramite le app i servizi esplicitamente richiesti dagli Interessati ed erogare tali servizi in conformità alla normativa vigente e in particolare alla disciplina applicabile in materia di servizi di pagamento”.
Tralasciando i riferimenti altamente tecnici cui si rinvia, è importante sapere che il trattamento di monitoraggio avveniva attraverso l’applicativo ThreatMetrix, si trattava cioè di una componente della piattaforma antifrode di Poste Italiane adottante un approccio basato sul rischio che consente di analizzare in tempo reale le operazioni realizzate tramite l’app e fornire un indice di rischio associato alle operazioni stesse. Deputato quindi a rilevare anomalie e meccanismi di spoofing nonché l’integrità delle applicazioni e la presenza di applicativi malevoli e tecnologie di rooting.
In definitiva, la raccolta e quindi disponibilità di tali informazioni tecniche consente “di tutelare gli Interessati, implementando misure per bloccare transazioni fraudolente”.
Sanzioni privacy a Poste e PostePay: le molteplici violazioni
Molteplici sono state le violazioni commesse, tra queste ci soffermiamo su quelle ritenute più significative ai fini della lezione che possiamo imparare.
Erronea base giuridica
Innanzi tutto, Poste non ha individuato correttamente il presupposto di liceità e quindi la base giuridica a supporto della finalità del trattamento.
È emerso infatti dagli atti che il noto colosso avesse individuato “l’adempimento a un obbligo legale” (art. 6, par. 1, lett. c) GDPR.
Al riguardo, l’Autorità nel suo ragionamento ammonisce Poste dicendo che andava operata “una distinzione tra le due tipologie di trattamento” e cioè, letteralmente, tra:
- il trattamento dei dati personali, effettuato dalle Società nella fase di raccolta delle informazioni archiviate nei dispositivi (terminali) in uso agli utenti, il cui quadro giuridico di riferimento è la lex specialis di cui alla c.d. Direttiva e-Privacy;
- i trattamenti successivi posti in essere dalle Società e dal sub-responsabile, relativamente alla rilevazione delle app in esecuzione o, comunque, installate sui dispositivi degli utenti, per finalità antifrode, i quali, invece, rientrano, a pieno titolo, nell’ambito di applicazione del GDPR.
Il monitoraggio antifrode e le basi giuridiche invocabili
Il trattamento di monitoraggio antifrode doveva essere effettuato sulla base di una delle condizioni di liceità previste dall’art. 6, par. 1 del Regolamento, “condizione che – come emerso nel corso dell’istruttoria – le Società hanno individuato nell’obbligo giuridico di cui all’art. 6, par. 1, lett. c) del Regolamento” cioè obbligo legale, come detto.
Tuttavia, l’Autorità dissente, invocando le “Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR”, cioè quelle sul “legittimo interesse” adottate dall’EDPB in data 8/10/2024 le quali chiariscono a gran voce che l’obbligo legale “…può essere considerato una valida base giuridica per i trattamenti di dati personali effettuati per finalità di contrasto e prevenzione delle frodi, ma ciò solo ove essi siano specificamente richiesti dalla legge applicabile (cfr. punto 107)”.
E nel caso di specie, nell’ambito delle attività di monitoraggio delle frodi, non rispondono a “quei necessari requisiti di specificità” richiamati dalle Linee guida, difettando “le condizioni generali (…) che presiedono alla liceità del trattamento dei dati personali” (quali i principi di trasparenza, minimizzazione e limitazione della conservazione dei dati personali), né individuano le modalità e le finalità del trattamento antifrode posto in essere”. Tanto basta per far franare le difese avanzate.
Piuttosto, secondo l’Autorità, “il trattamento dei dati relativi alle app in esecuzione o comunque installate sui dispositivi degli utenti per finalità di monitoraggio antifrode avrebbe potuto essere lecitamente effettuato, sulla base del consenso dell’interessato (art. 6, par. 1, lett. a) ovvero il legittimo interesse richiamando le citate linee giuda nella misura in cui “il trattamento dei dati personali strettamente necessario ai fini della prevenzione delle frodi può costituire un legittimo interesse del titolare del trattamento” purchè siano soddisfatti i test di necessità e di bilanciamento.
Di qui, passaggio importante, “il legittimo interesse quale condizione di liceità dei trattamenti di dati personali finalizzati alla prevenzione delle frodi non può essere applicato tout court, ma deve essere strettamente necessario a tale finalità, tenuto anche conto dei principi di minimizzazione dei dati e di limitazione della conservazione di cui all’articolo 5, paragrafo 1, lett. c) ed e)” GDPR, sempre che “sia stato effettuato un attento bilanciamento con gli interessi o i diritti e le libertà fondamentali dell’interessato e l’effettuazione di tale bilanciamento deve risultare da un apposito documento di analisi, c.d. LIA (Legitimate Interest Assessment, già previsto dal Parere n. 6/2014 del WP 29 sulla nozione di legittimo interesse)”.
Cosa che nel caso di specie è carente.
Valutazione di impatto e privacy by design e by default
Poste è stata poi carente nella valutazione di impatto violando il principio di privacy by design e by default, limitandosi a dichiarare “una generica rispondenza delle misure di pseudonimizzazione e minimizzazione adottate alla normativa […] senza fornire elementi sufficientemente specifici in grado di superare le puntuali contestazioni mosse dall’Autorità circa l’insufficienza delle misure complessivamente poste in essere alla luce dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita”, come si legge testualmente nel provvedimento.
Ancora, “il trattamento delle informazioni relative alle app installate e in esecuzione sul dispositivo dell’utente, in associazione peraltro con diversi identificatori univoci come indirizzi IP, ID pubblicitari, account personali o altri dati che consentono di effettuare il “fingerprinting” del dispositivo, rendono tali dati inequivocabilmente riconducibili a un individuo specifico”, qualificando le informazioni relative all’elenco delle app “dato personale”.
Di qui, le violazioni commesse. Con la conseguenza che le misure tecniche o organizzative adottate non sono state considerate dall’Autorità “idonee a perseguire le medesime finalità, quali, ad esempio, l’adozione di ulteriori meccanismi di protezione alternativi all’utilizzo delle informazioni relative alle app installate e/o in esecuzione, ovvero la limitazione del trattamento alla sola verifica della presenza di app ritenute a rischio per la sicurezza, con conseguente esclusione o minimizzazione del trattamento dei dati riferiti alle app non qualificate come malevole”, scrive testualmente e al riguardo il Presidente Stanzione.
La lezione: attenzione all’approccio basato sul rischio
Come ha ricordato anche la Cassazione “il sistema di tutela dei dati personali deve porre l’utente al centro, così obbligando il titolare del trattamento ad una tutela effettiva da un punto sostanziale, non solo formale: non è sufficiente, cioè, che la progettazione del sistema sia conforme alla norma se, poi, l’utente non è tutelato”.
D’altronde, l’approccio del GDPR, come abbiamo detto più volte, è tutto centrato sulla valutazione del rischio, il cd “risk based approach”, per cui le organizzazioni devono valutare il rischio inerente alle loro attività.
È con tale valutazione che si determina la misura dell’accountability di un titolare/responsabile del trattamento, ribadendo che si tratta di una valutazione del rischio (DPIA) da farsi fin dalla progettazione e cioè prima che inizi il trattamento.
