Il provvedimento n. 659 del 2 novembre 2024 emanato dal Garante per la Protezione dei Dati Personali rappresenta un’importante pronuncia in materia di violazione della riservatezza dei dati personali, con specifico riferimento al settore bancario. La vicenda ha riguardato Intesa Sanpaolo S.p.A., coinvolta in un episodio di accessi non autorizzati ai dati bancari di numerosi clienti, tra cui figure pubbliche e politiche di rilievo. Qui di seguito analizzeremo i principali aspetti giuridici del provvedimento e le implicazioni per il settore bancario.
La vicenda e la violazione dei dati personali
Il caso trae origine dalla segnalazione da parte della banca di accessi anomali da parte di un dipendente ai dati di circa 3.572 clienti, effettuati in un arco temporale di oltre due anni. La violazione si è estesa a dati particolarmente sensibili, inclusi quelli relativi a personalità pubbliche, politici e dirigenti bancari. Nonostante l’interruzione dell’attività illecita e il licenziamento del dipendente coinvolto, il Garante ha rilevato inadempienze significative nella gestione dell’incidente, in particolare per quanto concerne la comunicazione agli interessati.
Gli obblighi di notifica e comunicazione agli interessati
Ai sensi degli articoli 33 e 34 del GDPR, in caso di violazione dei dati personali, il titolare del trattamento è tenuto a:
- notificare la violazione all’Autorità di controllo senza ingiustificato ritardo, includendo una descrizione dettagliata degli eventi e delle misure adottate;
- comunicare la violazione agli interessati se questa comporta un rischio elevato per i loro diritti e libertà.
Nonostante l’apparente rispetto del primo obbligo, il Garante ha ritenuto insufficiente l’adempimento del secondo. In particolare, Intesa Sanpaolo ha comunicato l’incidente solo a un numero ristretto di soggetti, omettendo di estendere l’informazione a tutti i clienti potenzialmente impattati.
Punto chiave: la mancata comunicazione agli interessati ha impedito loro di adottare tempestivamente le misure necessarie per proteggersi da eventuali conseguenze negative, come danni reputazionali o usi illeciti dei dati.
La valutazione del rischio: criteri e implicazioni
Il Garante, rifacendosi alle Linee guida sulla notifica delle violazioni (9/2022 e 01/2021), ha sottolineato che la valutazione del rischio deve tenere conto de:
- la natura e sensibilità dei dati;
- la gravità delle conseguenze per gli interessati;
- le caratteristiche specifiche dei soggetti coinvolti, come la notorietà o il ruolo pubblico.
Nel caso di specie, il Garante ha ritenuto che i dati violati – comprensivi di informazioni finanziarie dettagliate – fossero particolarmente sensibili e che la loro esposizione potesse comportare rischi elevati per i diritti fondamentali delle persone coinvolte.
Le misure correttive imposte
Con il provvedimento, il Garante ha ingiunto alla banca di:
- comunicare individualmente la violazione a tutti gli interessati coinvolti, fornendo informazioni dettagliate sulla natura dell’incidente e sulle misure adottate;
- documentare le attività di contatto con i clienti, nel rispetto del principio di responsabilizzazione (accountability);
- garantire trasparenza nelle misure tecniche e organizzative adottate per prevenire future violazioni.
Il mancato rispetto delle prescrizioni del provvedimento potrebbe esporre la banca a sanzioni amministrative fino a 20 milioni di euro o al 4% del fatturato mondiale annuo.
Riflessioni e implicazioni per il settore bancario
Questo caso evidenzia la necessità, per le istituzioni bancarie, di:
- rafforzare i sistemi di monitoraggio degli accessi ai dati personali, adottando soluzioni tecnologiche avanzate;
- implementare procedure interne rigorose per gestire tempestivamente le violazioni, garantendo piena conformità al GDPR;
- promuovere una cultura della protezione dei dati, coinvolgendo attivamente i dipendenti nella tutela della riservatezza.
Il provvedimento del Garante pone anche l’accento sulla centralità della fiducia tra clienti e istituzioni finanziarie: la trasparenza nella gestione degli incidenti è un elemento essenziale per preservare tale rapporto fiduciario.
Conclusioni
Il caso analizzato rappresenta un monito per tutte le organizzazioni che trattano dati personali sensibili. Il rispetto degli obblighi di notifica e comunicazione non è solo un adempimento normativo, ma una componente fondamentale della responsabilità sociale d’impresa. La mancata protezione della riservatezza non comporta solo conseguenze giuridiche, ma può minare irrimediabilmente la reputazione di un’azienda.
In un contesto normativo sempre più esigente, le aziende devono dimostrare una proattiva responsabilità nella tutela dei dati personali, per garantire sicurezza, trasparenza e rispetto dei diritti fondamentali degli interessati.
Anna Esposito
Ultimi post di Anna Esposito (vedi tutti)
- La Suprema Corte su legittimazione attiva e cessione di crediti - Novembre 8, 2024
- Sul contratto di sale and lease back - Novembre 7, 2024
- La tutela della riservatezza bancaria: analisi del provvedimento n. 659/2024 del Garante Privacy - Novembre 6, 2024
- La responsabilità amministrativa delle società cancellate dal registro delle imprese: riflessioni su una recente sentenza della Cassazione - Ottobre 1, 2024
- I limiti alla divulgazione dei dati personali dei soci di fondi di investimento - Settembre 13, 2024