LCG – Lecis Cannella Grassi Studio Legale Associato
lock
Resta aggiornato sulle ultime novità
Iscriviti alla Newsletter

Home / Rassegna LCG / Il Garante ordina a Intesa Sanpaolo di comunicare agli interessati il Data Breach

Il Garante ordina a Intesa Sanpaolo di comunicare agli interessati il Data Breach

L’accesso non autorizzato da parte di un dipendente della Banca ha causato la perdita di riservatezza dei dati personali dei clienti e, secondo la valutazione del Garante, un rischio elevato per i diritti e le libertà degli interessati tale da rendere necessaria la comunicazione dell’evento agli interessati.  

A cura di Avv. Claudia Bacchiocchi e Dott.ssa Sofia Grossi.

Con il provvedimento del 2 novembre 2024, il Garante per la protezione dei dati personali si è espresso in merito alla violazione dei dati dei clienti di Intesa Sanpaolo S.p.A. causata, come noto, dall’accesso non autorizzato da parte di un dipendente ai dati bancari dei clienti, determinando una perdita di riservatezza.  
Il provvedimento del Garante aiuta a rendere ancora più chiaro il processo valutativo che ogni Titolare, in conseguenza di un data breach, è tenuto a seguire per determinare se una certa violazione, poiché comporta un rischio elevato per i diritti e per le libertà degli interessati, determina l’obbligo di comunicazione a questi ultimi dell’accaduto. 

Una breve ricostruzione dei fatti può aiutare a circostanziare l’intervento del Garante. 
Banca Intesa aveva già provveduto a luglio 2024 a notificare al Garante la violazione di dati personali ex art. 33 GDPR in cui concludeva, però, di non ravvisare un rischio elevato per i diritti e le libertà degli interessati bensì un rischio medio. A sostegno di tale conclusione argomentava che gli accessi indebiti erano stati interrotti definitivamente e l’attività del dipendente si era limitata alla mera consultazione, non essendo rinvenibile, tramite analisi dei log, alcuna esfiltrazione. 
La Banca dichiarava altresì che avrebbe provveduto ad informare i nove interessati oggetto del numero più consistente di accessi, mediante colloquio effettuato da parte dei Responsabili delle Filiali di radicamento dei rapporti.  
A seguito dei fatti di stampa ormai noti, il Garante ha richiesto ulteriori informazioni ad Intesa Sanpaolo, la quale ha confermato che i fatti di cronaca si riferissero esattamente a quanto oggetto di notifica del luglio 2024. 
La Banca ha poi chiarito che avrebbe inviato a tutta la clientela una comunicazione, per descrivere come si è effettivamente svolta la vicenda e quali possono essere le sue possibili conseguenze, ma anche le misure adottate o da adottare. 

Venendo più specificamente al provvedimento del 2 novembre 2024, il contenuto dello stesso si muove secondo due direttrici: quali sono le ragioni per le quali la violazione, contrariamente a quanto sostenuto da Banca Intesa, comporta un rischio elevato per i diritti e le libertà degli interessati, e come nel concreto la comunicazione dovrà essere effettuata e, soprattutto, documentata. 
In base alle disposizioni del GDPR la probabilità e la gravità dei rischi per i diritti e le libertà degli interessati devono essere determinate mediante un esame oggettivo tenendo conto dei seguenti elementi di valutazione: il tipo di violazione, la natura, il carattere sensibile ed il volume dei dati personali; la facilità di identificazione degli interessati; la gravità delle conseguenze per gli interessati; le caratteristiche dell’interessato; le caratteristiche particolari del Titolare; il numero degli interessati. 
Discostandosi da quanto affermato dalla Banca, il Garante ha dichiarato, invece, che la violazione in esame è suscettibile di rappresentare un rischio elevato per i diritti e le libertà degli interessati.  
Trattasi di dati personali inerenti allo stato patrimoniale i quali, se noti a soggetti non autorizzati, possono causare un danno reputazionale per gli interessati. Inoltre, i dati finanziari potrebbero essere usati, soprattutto se in combinazione con altri dati personali, per un furto di identità.  
Il Garante ha, poi, sottolineato l’elevato grado di responsabilizzazione richiesta nell’ambito dell’attività del Titolare, nonché dell’importanza di mantenere un rapporto di fiducia con i clienti. L’omessa comunicazione agli interessati impedisce agli interessati di assumere gli idonei provvedimenti cautelativi
La comunicazione di client caring sopra descritta, che la Banca avrebbe voluto inviare a tutta la clientela, risulta a parere del Garante non sufficientemente specifica, perché avrebbe contenuti e scopi diversi da quella richiesta dall’art. 34 GDPR. 

Il Garante ha ingiunto Intesa Sanpaolo a comunicare individualmente e personalmente ad ogni interessato la violazione e, nello specifico, i dati oggetto di accesso indebito; la comunicazione dovrà essere svolta con un contatto individuale, […], individuando un ordine di priorità e un calendario eventualmente differenziato, secondo una tempistica proporzionata al rischio.  
Le attività di contatto con la clientela dovranno essere documentate in forma scritta e dettagliatamente registrate. 
Dovrà poi essere data evidenza degli accessi che saranno considerati giustificati da ragioni di servizio nonché degli accessi che a seguito della comunicazione al cliente si riveleranno legittimi. 
Il provvedimento ha ribadito i parametri sulla base dei quali condurre la valutazione dell’impatto di una violazione sulle libertà e sui diritti degli interessati, ricordando la particolare rilevanza che rivestono le caratteristiche del Titolare in tale iter valutativo.  

Ciò di cui può senz’altro fare tesoro è la concretizzazione del principio di accountability nella fase di comunicazione agli interessati, con riguardo alla quale sono utili gli spunti circa la documentazione e la tracciabilità delle attività comunicative ed informative poste in essere verso gli interessati.