La autoridad de control italiana ha multado a la compañía Poste Italiane (servicio de correos) con 6.624.000 euros y a la entidad Postepay (entidad financiera) con 5.877.000 euros por el tratamiento ilícito de datos de millones de usuarios, por cuanto se exigía por ambas entidades, para poder utilizar sus aplicaciones móviles, el acceso a información del dispositivo móvil. En este sentido, tal y como indica la autoridad de control, se solicitaba autorización para monitorizar determinada información del dispositivo, incluidas otras apps instaladas o en ejecución, con la supuesta finalidad de detectar programas malignos y fraudes. Según ambas entidades, la finalidad de estos tratamientos era garantizar la seguridad en el uso de las aplicaciones y cumplir con la normativa vigente.
No obstante lo anterior, la autoridad de control consideró que el tratamiento era excesivo, por cuanto suponía una injerencia excesiva en la esfera privada de los usuarios, sin que el mismo fuera estrictamente necesario para la prevención del fraude. En este sentido, se pone de manifiesto que no basta con invocar finalidades legítimas (como podría ser la seguridad antifraude) si los medios o tratamientos empleados para ello no son adecuados. Adicionalmente, ambas compañías vulneraron distintos preceptos de la normativa vigente de protección de datos, puesto que no se facilitó información adecuada a los usuarios sobre este tratamiento, no se llevó a cabo una Evaluación de Impacto, ni se aplicaron medidas de seguridad que permitiesen minimizar o mitigar los riesgos derivados del tratamiento, entre otras cuestiones.
La relevancia de esta resolución radica en que la seguridad o la detección del fraude no puede erigirse en justificación automática para tratamientos invasivos. Es por ello por lo que resulta imprescindible llevar a cabo un análisis de proporcionalidad de los tratamientos, realizar evaluaciones de impacto o diseñar soluciones tecnológicas que estén alineadas con el principio de minimización de datos.
