NEWS

Polonia: sanzionata banca che non notifica lo smarrimento del plico spedito al cliente

La banca aveva spedito un plico tramite corriere, ma la corrispondenza contente dati personali del cliente era andata smarrita. Da una situazione apparentemente priva di grosse conseguenze, in questo caso però è intervenuta l’autorità per la privacy con una sanzione all’istituto bancario. I motivi? perché si trattava a tutti gli effetti di un “data breach” per cui è richiesta la notifica al Garante e la segnalazione all’interessato, e l’adempimento dell’obbligo non viene meno per il fatto che non si siano effettivamente verificate conseguenze negative per il cliente, ma vi si deve comunque ottemperare per la semplice possibilità che esse si verifichino.

Nicola Bernardi, presidente di Federprivacy

(Nella foto: Nicola Bernardi, presidente di Federprivacy)

Secondo quanto prescritto dal Gdpr, quando il titolare viene a conoscenza di un data breach, deve infatti notificarlo tempestivamente entro 72 ore all’autorità di controllo, e se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla anche agli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

Se è vero che l’art. 32 del Regolamento UE 2016/679 fornisce una possibile esimente, specificando che la notifica deve essere effettuata entro i termini “a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”, nel caso della Bank Millennium il Garante polacco (UODO) ha però escluso ogni scusante.

Se una spedizione va persa il titolare del trattamento deve notificare al garante l'eventuale data breach

Nel corso dell’istruttoria condotta dall’autorità era infatti emerso che nel plico della spedizione smarrita vi erano documenti contenenti alcuni dati del cliente, quali il nome e cognome, il codice fiscale (PESEL), l’indirizzo, i numeri di conto bancario e il numero di identificazione del cliente, e considerando la modesta entità dell’evento la banca lo aveva valutato come di “rischio medio” rispetto alle possibili conseguenze negative per l’unico interessato coinvolto, giustificandosi con l’autorità che si trattava di una violazione di un mero obbligo formale e non sostanziale.

Tuttavia, le giustificazioni addotte da Bank Millennium non sono state a quante pare abbastanza convincenti, e il garante ha deciso di infliggere comunque una sanzione all’istituto di 363.832 Złoty, pari a circa 87.000 euro, rimarcando che la banca ha ignorato il rischio di conseguenze negative derivanti dallo smarrimento del plico da parte del corriere, mentre invece avrebbe dovuto riconoscere l’effettivo rischio che questo comportava.

Note Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Olanda: violata la privacy di 83mila passeggeri, sanzionata compagnia aerea per insufficienti misure di sicurezza
Next UE: la presidenza del Consiglio raggiunge accordo con il Parlamento sulla governance dei dati

Il presidente di Federprivacy a Report Rai 3

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy