Il nuovo provvedimento del Garante per la protezione dei dati personali (n. 659 del 2 Novembre 2024), muove da una quaestio facti risalente al 17 luglio 2024 e riferita ad una perdita di riservatezza determinata dall’accesso non autorizzato da parte di un dipendente ai dati bancari (di Banca Intesa Sanpaolo S.p. A.) di alcuni clienti.

Nella citata notifica di violazione di dati personali, in particolare, la Banca rappresentava che “Nel mese di febbraio 2024, la Funzione Privacy, incaricata dei controlli di secondo livello in merito a potenziali anomalie negli accessi ai dati bancari da parte dei dipendenti rilevate dai sistemi di alert, ha analizzato le interrogazioni eseguite dal dipendente interessato sulla movimentazione della carta di credito di una cliente intercorse fra il 1° ottobre 2023 ed il 12 ottobre 2023.

Il sistema di alert ha inoltre intercettato nello stesso periodo (ottobre – novembre 2023) altri potenziali accessi anomali su due ulteriori clienti e che “sulla base dell’esito di tutte le verifiche condotte si ritiene che il perimetro dei clienti effettivamente impattati dall’accertata anomala operatività effettuata dal dipendente coinvolto sia di 9 persone fisiche”.

Avuto riguardo alla comunicazione agli interessati ex art. 34 del Regolamento, la Banca ha così rappresentato di voler comunicare l’evento a tutte le persone coinvolte. Con riferimento alla notifica di violazione di dati personali all’autorità di controllo prevista dall’art. 33 del Regolamento Generale sulla protezione dei dati (Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016), la Banca ha ritenuto di aver fornito tutte le informazioni necessarie mediante la notifica presentata il 17 luglio 2024.

Successivamente, in data 30 agosto 2024, la Banca ha comunque provveduto ad integrare la notifica precedentemente presentata per informare l’Autorità di aver proceduto al licenziamento del dipendente in questione. Fra l’altro, il 10 ottobre 2024, l’Autorità ha appreso, da notizie di stampa, che un dipendente di Intesa Sanpaolo avrebbe avuto accesso al di fuori della corretta operatività connessa allo svolgimento del proprio lavoro, a “(…) depositi di politici e militari, tra cui la sorella del premier, l’ex compagno ed i ministri Crosetto e Santaché. Ma anche Ignazio La Russa ed il procuratore della Direzione nazionale antimafia, Giovanni Melillo”.

Il quadro istruttorio e la decisione del Garante

 All’interno di questa cornice, l’attività istruttoria del Garante si è diretta anzitutto alla valutazione della conformità delle iniziative intraprese dalla Banca a tutela degli interessati, con particolare riferimento al pieno ed efficace assolvimento degli obblighi di comunicazione di cui all’art. 34 del Regolamento (Rubricato per l’appunto “Comunicazione di una violazione dei dati personali all’interessato” (C86- C88).

La comunicazione rappresenta, peraltro, una delle misure che il titolare del trattamento può adottare per attenuare i possibili effetti negativi della violazione dei dati personali per gli interessati ed ha come obiettivo principale quello di fornire informazioni specifiche sulle misure che gli stessi interessati possono adottare onde proteggersi dalle possibili conseguenze negative di una violazione.

Alla luce di quanto sopra, pertanto, il Titolare del trattamento è tenuto a comunicare la violazione agli interessati, considerata la particolare delicatezza dei dati personali oggetto di violazione, obbedendo ad un principio di precauzione che impone di adottare comunque le maggiori cautele possibili a fronte della potenzialità lesiva recata dalle ripetute azioni poste in essere dal dipendente e che sono tuttora al vaglio dell’Autorità giudiziaria competente.

Ancora, viene rilevato come la decisione del Titolare di non effettuare la comunicazione agli interessati non consenta agli stessi di assumere gli idonei comportamenti cautelativi in considerazione della natura dei dati personali oggetto di violazione che li riguardano (cons. n. 86 del Regolamento, nonché Provv. n. 264 del 10 dicembre 2020, doc. web n. 9557555). Il tutto, tenuto anche conto della circostanza secondo cui, durante l’istruttoria, il Titolare non ha comprovato in alcun modo la sussistenza della condizione ex art. 34, par. 3 del Regolamento in relazione allo sforzo sproporzionato richiesto dalla predetta comunicazione.

Sotto il profilo diagnostico, nella valutazione del rischio sono state prese in considerazione tanto le probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati, e con l’avvertenza che tali rischi siano determinati da una valutazione oggettiva.

Alla luce dell’esame delle circostanze portate a conoscenza dell’Autorità e delle considerazioni svolte, viene così ravvisata la necessità e l’urgenza di ingiungere al Titolare del trattamento ex artt. 34, par. 4 e 58, par. 2, lett. e) del Regolamento, di comunicare individualmente la violazione dei dati personali a tutti gli interessati i cui dati personali e bancari sono stati oggetto di accesso non riconducibile con certezza all’ordinaria attività lavorativa del dipendente, fornendo almeno le informazioni di cui all’art. 34, par. 2, del Regolamento, “senza ingiustificato ritardo” e, in ogni caso, entro venti giorni dalla data di ricezione del provvedimento, al fine di assicurare un’efficace tutela agli interessati, descrivendo in particolare la natura della violazione e le sue possibili conseguenze, nonché fornendo i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere maggiori informazioni, ed infine fornendo notizie sulle misure adottate per porre rimedio alla violazione e per attenuarne i possibili effetti negativi.

Hai bisogno di consulenza specialistica in data protection e privacy bancaria? Il nostro team di esperti in diritto della privacy ti offre supporto per:

Proteggi i dati dei tuoi clienti e previeni sanzioni: contatta i nostri esperti in protezione dati bancari per una consulenza personalizzata.