Il Garante Privacy sanziona le due società per l’uso ritenuto eccessivo dei dati nelle app: sotto accusa il monitoraggio obbligatorio degli smartphone. Il gruppo contesta tutto e annuncia ricorso.
La maxi sanzione da oltre 12,5 milioni di euro inflitta dal Garante della Privacy a Poste Italiane e Postepay riaccende il dibattito sull’equilibrio tra sicurezza digitale e tutela della privacy.
Il provvedimento arriva al termine di un’istruttoria avviata nel 2024 dopo numerose segnalazioni da parte degli utenti e riguarda in particolare il funzionamento delle app BancoPosta e Postepay.
Secondo l’Autorità, milioni di clienti sarebbero stati sottoposti a un trattamento dei dati non conforme alle regole europee, con un livello di controllo sui dispositivi giudicato eccessivo rispetto agli obiettivi dichiarati di prevenzione delle frodi.
Il Garante della Privacy multa Poste e Postepay: i motivi
Al centro della contestazione c’è il sistema antifrode adottato nelle applicazioni, che richiedeva agli utenti di autorizzare il monitoraggio di alcune informazioni presenti sullo smartphone come condizione per accedere ai servizi. Tra i dati raccolti figuravano anche quelli relativi alle applicazioni installate o in esecuzione, analizzati per individuare eventuali minacce informatiche.
Per il Garante, questa modalità operativa ha rappresentato un’ingerenza sproporzionata nella sfera privata degli utenti. Pur riconoscendo l’importanza di proteggere le transazioni digitali, l’Autorità ha ritenuto che il livello di controllo non fosse strettamente necessario né adeguato rispetto alle finalità di sicurezza.
A rafforzare la decisione hanno contribuito ulteriori criticità emerse durante l’indagine, tra cui informative poco chiare, carenze nella valutazione d’impatto sulla protezione dei dati e misure di sicurezza considerate insufficienti nella gestione e conservazione delle informazioni raccolte.
Il quadro delineato ha portato quindi a due sanzioni distinte: oltre 6,6 milioni di euro a Poste Italiane e circa 5,9 milioni a Postepay, per un totale che supera i 12,5 milioni.
La risposta di Poste Italiane alle accuse
La reazione del gruppo è stata immediata e netta. In una nota ufficiale, Poste Italiane ha dichiarato di aver accolto “con stupore” la decisione, contestandola sia nel merito sia sotto il profilo procedurale. L’azienda sostiene infatti che il provvedimento sia stato adottato oltre i termini previsti dalla legge e ribadisce la piena legittimità del proprio operato.
Secondo la società, il monitoraggio dei dispositivi aveva esclusivamente finalità di sicurezza, in linea con quanto richiesto dalla normativa europea sui servizi di pagamento. L’accesso ai dati tecnici degli smartphone, viene spiegato, sarebbe stato utilizzato per attivare sistemi antifrode e antimalware, senza alcun intento commerciale. A sostegno di questa tesi, Poste richiama anche una recente decisione del TAR del Lazio che, in un caso analogo, ha riconosciuto la correttezza del sistema.
L’azienda respinge quindi ogni accusa e sottolinea di aver operato nel rispetto delle regole, evidenziando come anche altre autorità abbiano ritenuto legittime le misure adottate per proteggere gli utenti.
Cosa succede ora: ricorso e adeguamenti
Oltre alla sanzione economica, il Garante ha imposto alle due società di interrompere i trattamenti ritenuti non conformi, se ancora in corso, e di adeguarsi alle prescrizioni in materia di protezione dei dati personali. Questo significa rivedere le modalità di raccolta e gestione delle informazioni, migliorare la trasparenza verso gli utenti e rafforzare le misure di sicurezza.
Parallelamente si apre un nuovo fronte legale. Poste Italiane ha già annunciato che presenterà ricorso al Tribunale di Roma per ottenere l’annullamento del provvedimento.
La vicenda, quindi, è tutt’altro che chiusa e potrebbe evolversi nei prossimi mesi, anche alla luce del confronto tra diverse interpretazioni delle norme europee sulla privacy e sulla sicurezza dei pagamenti digitali.
© RIPRODUZIONE RISERVATA
