In poche parole: le app di Poste accedono ad informazioni superflue sui devices degli utenti con SDK terzi (ThreatMetrix), dati di geolocalizzazione, pattern di utilizzo delle app, ecc… (giustificandoli come necessari per salvare i bambini… “qualcuno pensi ai bambini” =D ahah no, dicevano che servivano per la sicurezza), i quali permessi e dati però era superflui per l’utilizzo delle app.
Classica violazione del GDPR insomma, chiedendo consensi e dati superflui al funzionamento delle app:
L’istruttoria dell’Autorità – avviata a seguito di numerose segnalazioni e reclami pervenuti a partire da aprile 2024 – ha riguardato, in particolare, le modalità di funzionamento delle app BancoPosta e Postepay. Tali applicazioni prevedevano, quale condizione obbligatoria per l’utilizzo dei servizi, il rilascio da parte degli utenti di un’autorizzazione al monitoraggio di una serie di dati contenuti nei dispositivi mobili, incluse le applicazioni installate e in esecuzione, al fine di individuare eventuali software malevoli. Secondo quanto dichiarato dalle società, tali trattamenti sarebbero stati necessari per garantire la sicurezza delle operazioni e conformarsi alla normativa in materia di servizi di pagamento.
Il Garante ha tuttavia rilevato che le modalità adottate comportavano un’ingerenza eccessivamente invasiva nella sfera privata degli utentiin quanto non risultavano strettamente necessarie rispetto alle finalità di prevenzione delle frodi.
Nel corso dell’istruttoria sono inoltre emerse diverse violazioni della normativa in materia di protezione dei dati personalitra cui carenze nell’informativa resa agli utenti, assenza di un’adeguata valutazione di impatto sulla protezione dei dati (DPIA), mancata adozione di misure di sicurezza adeguate e di idonee politiche di conservazione dei dati, nonché irregolarità nella designazione del responsabile del trattamento.
Oltre alle sanzioni, l’Autorità ha ingiunto alle società di cessare i trattamenti oggetto di contestazioneove non vi abbiano già provveduto, e di adeguarsi alle prescrizioni in materia di conservazione dei dati, dandone comunicazione al Garante.
Ho dato uno sguardo veloce al provvedimento concreto che si trova VIA ma poi ho finito la colazione e me ne devo andare (e un LLM non aiuta. Gli ho chiesto “quali tool/SDK terzi usavano?” Risposta: “non risulta un SDK o tool terzo specifico”… …basta rapida ricerca di chi ha una minimissima capacità e si trovano i dettagli…)
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10241568
di sr_local
1 commento
Sono abbastanza sicuro che Poste abbia tratto benefici ben maggiori di quei 12,5M€ da questo monitoraggio improprio