Al corriere rubano un pacco contenente documenti dei clienti, ma la banca tace e viene sanzionata per mancata notifica del data breach
L'autorità polacca per la protezione dei dati (UODO) ha imposto una sanzione amministrativa di oltre 300.000 euro a Santander Bank Polska SA per violazioni del GDPR a seguito della mancata notifica di un data breach.
Il 2 aprile 2024 l’UODO ha dichiarato di aver appreso dai mass media della violazione dei dati personali che aveva colpito Banca Santander, in cui i documenti bancari sono finiti nelle mani di terzi non autorizzati a consultarli dopo che erano stati rinvenuti in un pacco abbandonato in un complesso residenziale a seguito di un furto ad un corriere che doveva recapitarli a destinazione.
Il pacco conteneva dati personali dei clienti anche di natura sensibile, tra cui nomi e cognomi, date di nascita, numeri di conto bancario, indirizzo e dettagli di contatto, numeri di identificazione nazionale (numeri PESEL), nomi utente e password bancari, dati sui guadagni, serie e numeri di carte d'identità, informazioni sui prodotti bancari, etc.
Il Garante polacco ha riferito che la Banca Santander ha spiegato di non aver segnalato tale violazione perché il pacco era stato ritrovato da un individuo poco dopo essere stato smarrito dal corriere, e la banca avrebbe accertato che non mancavano documenti. Inoltre, la persona che li aveva trovati li aveva portati direttamente alla stazione di polizia dichiarando di non aver fotocopiato i documenti ritrovati.
Le giustificazioni dell’istituto bancario non sono però bastate a persuadere l’autorità, la quale ha ritenuto che Santander avesse comunque violato l’art. 33 del GDPR per non aver notificato il data breach all'UODO senza ingiustificato ritardo entro 72 ore dalla scoperta, e anche l’art. 34 per non aver avvertito tempestivamente gli interessati coinvolti nella violazione dei loro dati personali.
Inoltre, l'UODO ha osservato che attraverso le suddette violazioni, Santander Bank ha privato gli interessati della possibilità di rispondere adeguatamente alla violazione e di valutare in modo indipendente le conseguenze che sarebbero potute derivare da essa. Inoltre, l’autorità ha stabilito che Santander Bank ha omesso di valutare in modo adeguato il rischio di violazione dei diritti e delle libertà di una persona fisica e non ha verificato l’applicazione di misure di sicurezza adeguate per porre rimedio alla violazione e ridurre al minimo gli effetti negativi. Inoltre, l'UODO ha concluso anche che era irrilevante che i dati fossero stati messi a disposizione di una sola persona identificata, e per questo la banca non avrebbe dovuto tacere nei confronti dell’autorità e degli stessi clienti su ciò che era accaduto.
Al termine dell’indagine, l'UODO (decisione DKN.5131.59.2022) ha pertanto imposto una sanzione amministrativa di 1,4 milioni di PLN (corrispondente a circa 330.000 euro) alla Banca Santander per le violazioni commesse, ordinando alla Banca Santander di avvisare le persone colpite dalla violazione entro tre giorni dalla data di ricevimento della decisione.