Francia: 42 milioni di euro a Free e Free Mobile per data breach
La CNIL, Autorità francese per la protezione dei dati personali, ha inflitto sanzioni complessive per 42 milioni di euro a due società del gruppo Iliad: Free Mobile (27 milioni di euro) e Free (15 milioni di euro). Il provvedimento scaturisce da un grave data breach verificatosi nel 2024, che ha esposto i dati personali di milioni di abbonati ai servizi di telecomunicazione.
L'indagine della CNIL ha accertato carenze significative nelle misure di sicurezza tecniche e organizzative adottate dalle due società, in violazione dell'art. 32 del GDPR, che impone ai titolari del trattamento di garantire un livello di sicurezza adeguato al rischio. È stata inoltre riscontrata una violazione dell'art. 34 GDPR: le aziende non hanno provveduto a notificare tempestivamente e in modo adeguato gli interessati colpiti dalla violazione dei dati, privandoli della possibilità di adottare misure di protezione.
Si tratta della sanzione più elevata comminata in Europa nel 2026, a conferma dell'attenzione crescente delle Autorità di controllo europee nei confronti della sicurezza informatica e della gestione degli incidenti. Il caso Free dimostra che le conseguenze di un data breach non si limitano al danno reputazionale, ma possono tradursi in sanzioni economiche estremamente rilevanti.
Per qualsiasi azienda che gestisce dati personali su larga scala, questa vicenda sottolinea l'importanza di investire in misure di sicurezza adeguate e di predisporre procedure di risposta agli incidenti (incident response plan) che garantiscano una notifica tempestiva sia all'Autorità di controllo sia agli interessati, come previsto dagli artt. 33 e 34 del GDPR.
Fonte: Skillcast – GDPR Enforcement Tracker
https://www.skillcast.com/blog/biggest-gdpr-fines-2026
