WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12

SCOPRI I DETTAGLI

WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca
SCOPRI I DETTAGLI
Login
Contatti
Categorie tematiche
Categorie tematiche
Link veloci
Link veloci
DB Business
DB Business
Chi siamo
Chi siamo
Contatti
Login
www.dirittobancario.it
Flash News
Privacy

Violazione dati bancari: il Garante Privacy sull’obbligo di informare i clienti

6 Novembre 2024
Di cosa si parla in questo articolo
Garante Privacy GDPR
Condividi

Il Garante Privacy, con provvedimento n. 659 del 2 novembre 2024, in relazione ad una nota vicenda di ripetuti accessi indebiti di un dipendente di una banca a dati personali dei clienti, che ha riguardato un gruppo bancario italiano, ha intimato alla banca medesima di informare, entro 20 giorni dalla ricezione del provvedimento, tutti i clienti coinvolti nella violazione dei propri dati personali e bancari.

L’Autorità ha infatti ritenuto che la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone coinvolte, tenuto conto della natura della violazione, delle categorie dei dati trattati, della gravità e delle conseguenze che ne potrebbero derivare: il provvedimento si è reso necessario peraltro poiché nelle prime comunicazioni inviate dalla Banca al Garante pare non fosse stata adeguatamente messa in evidenza l’ampiezza della violazione, come invece è poi risultata sia dagli articoli di stampa sia dai riscontri dalla stessa forniti.

Il Garante, che si riserva di valutare l’adeguatezza delle misure di sicurezza adottate nell’ambito di un’istruttoria tuttora in corso, ha inoltre ingiunto alla Banca di trasmettere all’Autorità, entro 30 giorni, un riscontro adeguatamente documentato sulle iniziative intraprese al fine di dare piena attuazione a quanto prescritto.

Sull’obbligo di comunicare la violazione dei dati bancari agli interessati

Il Garante ha ricordato preliminarmente che, in base al GDPR, nella valutazione del rischio, devono essere considerate tanto la probabilità, quanto la gravità dei rischi per i diritti e le libertà degli interessati, e che tali rischi siano determinati in base a una valutazione oggettiva.

In particolare, in caso di violazione dei dati personali, le Linee guida sulla notifica (n. 9/2022 adottate dall’EDPB il 28 marzo 2023) individuano diversi fattori da considerare nella valutazione del rischio per i diritti e le libertà degli interessati:

  • il tipo di violazione
  • la natura
  • il carattere sensibile e il volume dei dati personali
  • la facilità di identificazione degli interessati
  • la gravità delle conseguenze per gli interessati
  • le caratteristiche particolari dell’interessato
  • le caratteristiche particolari del Titolare del trattamento dei dati
  • il numero di interessati coinvolti.

Diversamente da quanto valutato dalla banca, l’Autorità ha ritenuto nel caso di specie che la violazione dei dati personali in questione fosse suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, in considerazione:

  • della natura della violazione dei dati personali, che alle condizioni previste dall’art. 615-ter C.p., può configurare un’ipotesi di reato
  • delle categorie dei dati personali oggetto di violazione
  • della gravità e persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dalla violazione: ad esempio la divulgazione di notizie riguardanti lo stato patrimoniale, il danno reputazionale
  • del settore di attività del Titolare, che richiede un elevato grado di responsabilizzazione da parte dei propri incaricati, al fine di garantire la fiducia nei propri confronti da parte dei clienti, soddisfacendo, in particolare, le loro legittime aspettative di riservatezza e di sicurezza del trattamento.

L’art. 34, par. 1, del GDPR stabilisce che “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.

Le Linee guida sulla notifica ricordano inoltre che la violazione dovrebbe essere comunicata direttamente agli interessati coinvoltia meno che ciò richieda uno sforzo sproporzionato:  in tal caso, si procede a una comunicazione pubblica o a una misura simile che permetta di informare gli interessati con analoga efficacia”.

Le Linee guida sulla notifica richiamano inoltre l’art. 34, par. 3, del GDPR, facendo presente che “conformemente al principio di responsabilizzazione, il titolare del trattamento dovrebbe essere in grado di dimostrare all’autorità di controllo di soddisfare una o più […] condizioni” per le quali non è richiesta la comunicazione della violazione dei dati personali direttamente agli interessati coinvolti.

La comunicazione agli interessati rappresenta, peraltro, una delle misure che il titolare del trattamento può adottare per attenuare i possibili effetti negativi della violazione dei dati personali per gli interessati: la stessa ha come obiettivo principale quello di fornire informazioni specifiche sulle misure che gli stessi interessati possono adottare per proteggersi dalle possibili conseguenze negative di una violazione.

Pertanto, il Garante ha ritenuto che il Titolare del trattamento (la banca) è tenuto a comunicare la violazione agli interessati, considerata la particolare delicatezza dei dati personali oggetto di violazione, in ciò obbedendo a un principio di precauzione che, pur nella incertezza sugli effettivi utilizzi ulteriori dei dati cui il dipendente ha avuto accesso (che il Garante ritiene non sia dato sapere se siano stati oggetto di acquisizione come dati informatici o come immagini o siano stati semplicemente consultati e, possibilmente, trascritti manualmente su supporti cartacei o elettronici), impone di adottare comunque le maggiori cautele possibili a fronte della potenzialità lesiva recata dalle ripetute azioni poste in essere dal dipendente e che sono tuttora al vaglio dell’Autorità giudiziaria competente.

Inoltre, si Garante sottolinea, a contrario, che la decisione del Titolare di non effettuare la comunicazione agli interessati non consente loro di assumere gli idonei comportamenti cautelativi in considerazione della natura dei dati personali oggetto di violazione che li riguardano.

L’Autorità rileva inoltre che, nel corso dell’istruttoria sino ad ora svolta, il Titolare non ha provato in alcun modo la sussistenza della condizione di cui all’art. 34, par. 3, del GDPR in relazione allo sforzo sproporzionato che la predetta comunicazione richiederebbe: pertanto non ha ritenuto applicabile al caso di specie la condizione prevista alla lettera c) del par. 3, anche in ragione del fatto che i clienti le cui posizioni bancarie sono state oggetto di accesso da parte del dipendente, sono certamente noti alla Banca, così come sono noti i recapiti di ciascuno di essi, e tenuto conto del tempo intercorso e delle analisi effettuate dalla Banca, anche in contraddittorio con il dipendente.

Il Garante ha quindi ravvisato la necessità e l’urgenza di ingiungere al Titolare del trattamento, ai sensi del combinato disposto degli artt. 34, par. 4, e 58, par. 2, lett. e) del GDPR:

  • di comunicare individualmente la violazione dei dati bancari a tutti gli interessati i cui dati personali e bancari siano stati oggetto di accesso non riconducibile con certezza all’ordinaria attività lavorativa del dipendente
  • fornendo le informazioni di cui all’art. 34, par. 2, del GDPR
  • senza ingiustificato ritardo” e, in ogni caso, entro venti giorni dalla data di ricezione del presente provvedimento
  • descrivendo la natura della violazione e le sue possibili conseguenze
  • fornendo i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito, presso cui ottenere maggiori informazioni
  • fornendo notizie sulle misure adottate per porre rimedio alla violazione dei dati bancari e per attenuarne i possibili effetti negativi.

Tale comunicazione:

  •  dovrà essere effettuata attraverso un contatto individuale, preferibilmente attraverso personale appositamente istruito della filiale di radicamento del cliente
  • nelle modalità che il Titolare riterrà più opportune, individuando un ordine di priorità e un calendario eventualmente differenziato, secondo una tempistica proporzionata al rischio
  • dovrà essere rivolta individualmente e personalmente a ciascun interessato cui si riferiscano i dati oggetto di accesso indebito, quando non vi siano evidenze in merito ad accessi effettuati per esigenze di servizio
  • unitamente a tutte le attività di contatto della clientela coinvolta, dovrà essere dettagliatamente registrata e documentata in forma scritta, nelle modalità di svolgimento e negli esiti del contatto, nel rispetto del principio di responsabilizzazione

La Banca dovrà poi documentare al Garante gli accessi giustificati da ragioni di servizio del dipendente, esclusi dall’azione di comunicazione, nonché gli accessi che, proprio a seguito dell’azione di comunicazione, dovessero essere riconosciuti come legittimi dai clienti perché effettuati nel loro interesse e comunque per ragioni di servizio.

Di cosa si parla in questo articolo
Garante Privacy GDPR
Allegati

WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12

SCOPRI I DETTAGLI
Iscriviti alla nostra Newsletter
ISCRIVITI