Prosegue l'attento lavoro del Garante per la privacy contro gli abusi sull'uso dei dati personali. È recente l'ordine di pagare una sanzione di 600 mila Euro a un istituto bancario per un data breach provocato da accessi abusivi ai dati personali di oltre 700 mila clienti, tra aprile 2016 e luglio 2017. La violazione subita era stata comunicata dalla banca stessa alla fine di luglio 2017.
Le violazioni riguardavano dati di alcuni dipendenti di un partner commerciale esterno alla banca e concernevano più informazioni personali: dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento, informazioni sul datore di lavoro, stipendio, importo del prestito, stato del pagamento, "approssimazione della classificazione creditizia del cliente" e codice Iban.
La sanzione, determinata applicando la disciplina precedente l'entrata in vigore del Gdpr, ha fatto seguito ad accertamento del Garante e alla successiva contestazione per violazioni amministrative del maggio 2019, per assenza di misure minime di sicurezza previste dal Codice privacy e il mancato rispetto delle regole fissate dalla stessa Autorità in materia di tracciamento delle operazioni bancarie.
Considerati i rilevanti profili di illiceità del trattamento determinati dalla mancata adozione di misure tecniche e organizzative adeguate e valutate le argomentazioni addotte dalla banca, il Garante ha quindi ritenuto necessario l'applicazione della sanzione al fine di salvaguardare i diritti e le libertà delle persone coinvolte, a prescindere dalla notificazione della violazione di dati personali effettuata dalla banca. L'ammontare dell'importo (Euro 600.000,00) è stato determinato da diversi elementi, tra i quali il fatto che le violazioni sono state commesse nei confronti di un rilevante numero di persone e che la banca a seguito del data breach ha adottato le misure per rafforzare la sicurezza dei propri sistemi informatici.
