Il provvedimento arriva al termine di un’istruttoria avviata dopo numerose segnalazioni e reclami presentati a partire da aprile 2024. Al centro dell’attenzione ci sono state le app BancoPosta e Postepay, considerate dal Garante non conformi sotto diversi profili.
Secondo l’Autorità, il funzionamento delle applicazioni imponeva agli utenti, come condizione necessaria per accedere ai servizi, il consenso a un controllo molto esteso dei dati presenti sui dispositivi mobili. Tra questi rientravano anche le applicazioni installate e quelle in esecuzione, con l’obiettivo dichiarato di individuare eventuali software malevoli e prevenire frodi. Le due società hanno sostenuto che tale sistema fosse indispensabile per garantire la sicurezza delle operazioni e rispettare gli obblighi previsti dalla normativa sui servizi di pagamento.
Il Garante, però, ha ritenuto che questo tipo di monitoraggio fosse troppo invasivo rispetto alla finalità perseguita. In altre parole, le misure adottate avrebbero inciso in modo eccessivo sulla sfera privata degli utenti, senza dimostrarsi realmente indispensabili per la prevenzione delle frodi.
Nel corso dell’indagine sono emerse anche altre criticità:
 | Informative poco complete; |
 | Assenza di una valutazione d’impatto adeguata; |
 | Carenze nelle misure di sicurezza; |
 | Regole non sufficienti su modalità e durata di conservazione dei dati; |
 | Irregolarità nella nomina del responsabile del trattamento. |
Oltre alle sanzioni economiche — 6.624.000 euro a Poste Italiane e 5.877.000 euro a Postepay — l’Autorità ha ordinato di interrompere i trattamenti contestati, se non già sospesi, e di adeguare le procedure sulla conservazione dei dati, informandone il Garante.
Il messaggio è chiaro: la tutela della sicurezza digitale, pur essendo un obiettivo legittimo e necessario, non può giustificare interventi sproporzionati nella gestione dei dati degli utenti. Le aziende sono chiamate a trovare un equilibrio concreto tra protezione e rispetto dei diritti fondamentali, adottando soluzioni realmente necessarie, trasparenti e proporzionate. La decisione del Garante si inserisce proprio in questa direzione, rafforzando il principio secondo cui innovazione e sicurezza devono sempre procedere insieme alla piena tutela dei dati personali.
Leggi anche: Privacy e prenotazione vacanze: 5 regole da seguire
