NEWS

Polonia: se il data breach comporta rischi elevati per gli interessati l’avviso sul portale non basta. Sanzionata una banca

Nonostante la risoluzione del rapporto di lavoro, un dipendente della banca aveva continuato ad avere l’abilitazione per l’accesso ai server dell’istituto, entrando cinque volte nella piattaforma e accedendo peraltro ai profili previdenziali dei suoi ex colleghi. Anche se da parte sua la banca aveva provveduto a notificare il data breach all’autorità per la protezione dei dati e ad avvisare i dipendenti della violazione della riservatezza sul portale, si limitava però a pubblicare un annuncio interno generico senza fare riferimento a un caso specifico, omettendo di segnalare gli effettivi rischi che correvano i dipendenti.

Se c'è un rischio elevato per gli interessati si devono fornire loro informazioni dettagliate sulla violazione della loro privacy

Inoltre, il messaggio pubblicato sulla piattaforma, era indirizzato solo a coloro che erano impiegati presso la banca al momento della notifica, e avrebbe quindi potuto lasciare all'oscuro molti interessati che nel frattempo erano andati in pensione o avevano cambiato lavoro.

Secondo l’autorità per la protezione dei dati polacca (UODO), il comportamento non impeccabile della Santander Bank Polska SA, costituiva una violazione della riservatezza dei dati ai sensi dell’art.34 del Gdpr che ha comportato contemporaneamente un rischio elevato per i diritti o le libertà degli interessati.

Ciò che è rilevante per l’UODO, non era se la persona non autorizzata fosse effettivamente venuta a conoscenza dei dati personali dei dipendenti della banca, ma il fatto che esistesse per loro un alto rischio di cui non erano stati messi al corrente.

Di conseguenza, data la portata della violazione, che riguardava anche dati sanitari e assenze per malattia, sussisteva un rischio elevato per i diritti o le libertà degli interessati, e il titolare del trattamento avrebbe dovuto comunicare violazione ai dipendenti, informandoli specificamente.

Con il provvedimento DKN.5131.33.2021, il Garante polacco ha quindi inflitto una sanzione amministrativa di 120.000 euro a Santander Bank Polska, ordinando alla banca di comunicare la violazione a tutti i dipendenti che avevano lavorato nel periodo in cui l'ex dipendente aveva avuto l’accesso non autorizzato, e fornendo dettagliate informazioni come previsto dall’art.34 par.2 del Regolamento UE 2016/679, e cioè descrivendo della natura della violazione dei dati, comunicando il nome e i dati di contatto del DPO per essere in grado di ottenere maggiori informazioni, e provvedere una descrizione delle possibili conseguenze del data breach con una descrizione delle misure adottate, comprese quelle volte a minimizzarne i possibili effetti negativi della violazione.

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Usa: sanzione da 45 milioni di dollari per chiamate di marketing automatizzate
Next Spagna: addebito di 5 euro al mese per i clienti che non volevano rinunciare alla loro privacy. Banca sanzionata per 2 milioni di euro

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy