Garante italiano multa Poste Vita por vazamento de dados de cliente de seguro

Fonte: EDPB — European Data Protection Board  |  Jurisdição: União Europeia  |  Tipo: Notícia

Background information Date of final decision: 10 July 2025 National case Controller: Poste Vita s.p.a. Legal Reference(s): Article 5 (Principles relating to processing of personal data), Article 33 (Notification of a personal data breach to the supervisory authority) Decision: Administrative fine Key words: Administrative fine, Clients, Data security, Insurance, Personal data breach Summary of the Decision Origin of the case The investigation was initiated following a complaint from an insurance company (Poste Vita) customer who complained about the unlawful disclosure of personal data to an unauthorised third party who had then used it in legal proceedings. The data related to three life insurance policies held by the complainant. Key Findings During the investigation, the Italian Supervisory Authority (SA) verified that the data breach had occurred due to a series of errors committed by the company’s operators. They had responded to requests for information regarding the data subject’s policies without first verifying that the email address from which the requests were sent matched the contact details provided by the customer. The requests came from two email addresses which, although they had the name and surname of the data subject, who had never provided any email address to the company, were in fact linked to third parties. Decision Noting that in the meantime the insurance company had implemented corporate procedures aimed at rigorously verifying the identity of the person concerned, the Italian SA imposed a fine of 80,000 EUR, without taking further measures. For further information: Data breach, il Garante sanziona Poste Vita per 80mila euro

A Autoridade Supervisora italiana (Garante per la protezione dei dati personali) aplicou multa administrativa a Poste Vita s.p.a., empresa de seguros, por violação de dados pessoais de cliente. A decisão final foi proferida em 10 de julho de 2025. A investigação foi iniciada por reclamação de cliente que teve dados pessoais relativos a três apólices de seguro de vida divulgados indevidamente a terceiro não autorizado, que os utilizou em procedimento judicial. A Autoridade Supervisora constatou que a violação resultou de série de erros operacionais: operadores da empresa responderam a solicitações de informações sobre apólices do titular sem verificar se o endereço de email remetente correspondia aos dados de contato fornecidos pelo cliente. Os pedidos originaram-se de dois endereços de email que, embora contivessem nome e sobrenome do titular (nunca fornecidos à empresa), estavam vinculados a terceiros. A violação caracterizou descumprimento dos Artigos 5 (Princípios relativos ao tratamento de dados pessoais) e 33 (Notificação de violação de dados pessoais à autoridade supervisora) do GDPR. Multa de EUR 80.000 foi imposta. A empresa havia implementado procedimentos corporativos para verificação rigorosa de identidade do interessado, o que influenciou a decisão. A decisão reforça obrigações de verificação de identidade em requisições de dados e implementação de controles de segurança adequados em operações de processamento.

Impacto estimado: Médio  |  Temas: violação de dados, notificação de incidente, segurança da informação, direitos do titular

Fonte original: EDPB — European Data Protection Board

Compartilhar sinal ApolloRisk

Compartilhe este sinal com sua equipe ou rede profissional.

LinkedIn
WhatsApp
Facebook
Reddit
Instagram: copie o link desta página e cole nos Stories.

Posts Similares