Con provvedimento n. 99 del 10 giugno 2020, il Garante per la Privacy ha ordinato ad un istituto bancario il pagamento di una sanzione di 600 mila euro per un data breach causato da accessi abusivi ai dati personali di oltre 700 mila clienti, tra aprile 2016 e luglio 2017, comunicato al Garante dalla stessa banca.
Gli accessi abusivi, avvenuti in due momenti distinti, erano stati effettuati utilizzando le utenze di alcuni dipendenti di un partner commerciale esterno alla banca ed avevano riguardato una molteplicità di informazioni (dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento e informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban).
Il Garante, quindi, considerati i rilevanti profili di illiceità del trattamento determinati dalla mancata adozione di misure tecniche e organizzative adeguate e valutate le argomentazioni addotte dalla banca, ha ritenuto necessario l’applicazione della sanzione al fine di salvaguardare i diritti e le libertà delle persone coinvolte.
L’attuale sanzione, determinata applicando la disciplina precedente l’entrata in vigore del Gdpr, segue la contestazione di violazioni amministrative notificata alla banca nel maggio 2019, originata a sua volta da un provvedimento adottato dall’Autorità nel marzo 2019 con il quale il Garante aveva accertato la violazione, da parte dell’istituto bancario, delle misure minime di sicurezza previste dal Codice privacy e il mancato rispetto delle regole fissate dalla stessa Autorità nel provvedimento n. 192 del 12 maggio 2011 in materia di tracciamento delle operazioni bancarie.
