Garante Privacy a Banca Intesa: 20 giorni per informare i clienti della violazione dei dati 

Logo del Garante per la protezione dei dati personali (Gpdp)Il Garante per la protezione dei dati personali (Gpdp) ha indicato a Intesa Sanpaolo un massimo di 20 giorni per per informare i clienti coinvolti nella violazione dei propri dati personali e bancari, avvenuta attraverso accessi indebiti effettuati da un dipendente della banca.

Ha inoltre ingiunto alla banca di trasmettere, entro 30 giorni, un riscontro adeguatamente documentato sulle iniziative intraprese al fine di dare piena attuazione a quanto prescritto.

La decisione è arrivata in seguito ai chiarimenti inviati dall’istituto bancario in risposta alla richiesta di informazioni dell’autorità.

Il Garante della privacy, diversamente da quanto valutato dalla banca, ritiene che la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone coinvolte, “tenuto conto della natura della violazione, delle categorie dei dati trattati, della gravità e delle conseguenze che ne potrebbero derivare (ad es., la divulgazione di notizie riguardanti lo stato patrimoniale, il danno reputazionale)”.

Il provvedimento si è reso necessario “poiché nelle prime comunicazioni inviate dalla banca al Garante non era stata adeguatamente messa in evidenza l’ampiezza della violazione, come invece è poi risultata sia dagli articoli di stampa sia dai riscontri dalla stessa forniti”.

L’Autorità si riserva inoltre di valutare l’adeguatezza delle misure di sicurezza adottate nell’ambito di un’istruttoria tuttora in corso.