Spagna: pubblicate in Gazzetta Ufficiale oltre 11 milioni di euro di sanzioni inflitte a Iberdrola e CaixaBank per violazioni del Gdpr
Da anni l’autorità per la protezione dei dati spagnola (AEPD) è la prima tra i 27 stati membri dell’UE per numero di sanzioni, e di recente ha lasciato ulteriormente il segno infliggendo a Iberdrola e CaixaBank oltre 11 milioni di euro di multe che non hanno potuto passare inosservate, perché sono state addirittura pubblicate sulla Gazzetta Ufficiale.
La Gazzetta Ufficiale iberica ha infatti pubblicato un provvedimento che raccoglie le ultime multe milionarie che l'AEPD ha inflitto nelle ultime settimane, come previsto da un articolo della legge spagnola sulla protezione dei dati del 2018, che richiede la pubblicazione quando la sanzione "è superiore a un milione di euro e l'autore del reato è una persona giuridica".
Nel provvedimento sono riportate le sanzioni comminate per violazioni del Gdpr a Iberdrola per 6,5 milioni di euro, e a CaixaBank per 5 milioni di euro.
Iberdrola è stata sanzionata per non aver controllato la sicurezza dei suoi sistemi informatici dal 2019, lacuna che era emersa a seguito di un attacco informatico nel 2022 in cui erano state rubate le informazioni personali di molti dei suoi clienti, provocando successivamente telefonate commerciali indesiderate che li incoraggiavano a stipulare nuovi contratti di fornitura.
Per tali chiamate commerciali di terzi sarebbero stati utilizzati proprio i dati trafugati a Iberdrola, motivo per cui l'AEPD ha multato sia la società di distribuzione del gruppo, i-DE per 3,5 milioni di euro che la casa madre Iberdrola SA per 3 milioni di euro.
Invece la sanzione contro CaixaBank riguardava una vicenda che si trascinava da alcuni anni, in cui un cliente della banca aveva ricevuto una notifica attraverso la quale era venuto a conoscenza di un bonifico effettuato da un terzo cliente a lui del tutto estraneo.
Anche se CaixaBank aveva sempre sostenuto che si trattasse di un singolo episodio, il Garante spagnolo ha poi accertato che il data breach era in realtà estendibile a tutti i clienti dell'istituto finanziario, concludendo che la banca non aveva reagito adeguatamente alla falla, limitandosi a mettere una "mera toppa" per risolvere il singolo problema.
In totale, le sanzioni irrogate dall'AEPD che sono state pubblicate nella Gazzetta Ufficiale ammontano quindi a 11,5 milioni di euro.