Il commissario federale per la protezione dei dati e la libertà di informazione (BfDI) ha multato il fornitore di servizi di telecomunicazione 1 & 1 Telecom GmbH con un’ammenda di 9.550.000 euro.
La società non aveva adottato misure tecniche e organizzative sufficienti per impedire a persone non autorizzate di ottenere informazioni sui dati dei clienti dall’assistenza clienti telefonica. In un altro caso, la BfDI ha inflitto un’ammenda di EUR 10.000 a Rapidata GmbH .
Il commissario federale Ulrich Kelber ha dichiarato: La protezione dei dati è una protezione dei diritti fondamentali. Le ammende inflitte sono un chiaro segno che applicheremo questa protezione dei diritti fondamentali. Il regolamento generale europeo sulla protezione dei dati ( GDPR ) ci offre l’opportunità di punire in modo decisivo l’inadeguata protezione dei dati personali. Applichiamo questi poteri tenendo conto dell’adeguatezza richiesta.
Nel caso di 1 & 1 Telecom GmbH , la BfDI era venuta a conoscenza del fatto che i chiamanti potevano ricevere ampie informazioni su altri dati personali dei clienti dal servizio clienti dell’azienda semplicemente specificando il nome e la data di nascita di un cliente. La BfDI considera questa procedura di autenticazione come una violazione dell’articolo 32 del GDPR , in base al quale la società è obbligata ad adottare adeguate misure tecniche e organizzative per proteggere sistematicamente il trattamento dei dati personali.
Dopo che la BfDI aveva criticato l’insufficiente protezione dei dati, 1 & 1 Telecom GmbH si è dimostrata perspicace ed estremamente collaborativa. In un primo momento, il processo di autenticazione è stato innanzitutto protetto richiedendo informazioni aggiuntive. In un’ulteriore fase, 1 & 1 Telecom GmbH sta attualmente introducendo una nuova procedura di autenticazione che è stata notevolmente migliorata in termini di tecnologia e protezione dei dati, in consultazione con BfDI .
Nonostante queste misure, era necessario imporre un’ammenda. Tra le altre cose, la violazione non si è limitata a un numero limitato di clienti, ma ha rappresentato un rischio per l’intera base di clienti: nel determinare l’importo dell’ammenda, il BfDI è rimasto al di sotto a causa del comportamento cooperativo di 1 & 1 Telecom GmbH durante l’intero processo. Gamma di possibili ammende.
La BfDI sta inoltre studiando i processi di autenticazione di altri fornitori di servizi di telecomunicazione in base ai risultati, alle informazioni e ai reclami dei clienti.
È diventata necessaria un’ulteriore procedura contro il fornitore di telecomunicazioni Rapidata GmbH perché la società non ha ottemperato ai requisiti legali previsti dall’articolo 37 del GDPR per nominare il responsabile della protezione dei dati della società nonostante le ripetute richieste. L’importo dell’ammenda di 10.000 euro è stato preso in considerazione dal fatto che si tratta di una società appartenente alla categoria delle microimprese.
