Il Garante per la Protezione dei Dati Personali ha inflitto una sanzione a Intesa Sanpaolo per accessi abusivi ai dati bancari dei clienti, configurando una violazione del GDPR. Il provvedimento sanzionatorio colpisce condotte di accesso non autorizzato alle informazioni personali custodite dall’istituto di credito, evidenziando l’insufficienza delle misure di sicurezza adottate per prevenire tali accessi.
Il caso che ha coinvolto Intesa Sanpaolo rappresenta un importante precedente in materia di protezione dei dati personali nel settore bancario. La sanzione irrogata dal Garante Privacy si inserisce nel quadro di un crescente controllo sulle modalità con cui gli istituti finanziari gestiscono e proteggono le informazioni sensibili della clientela.
Il contesto normativo della violazione
Il Regolamento Generale sulla Protezione dei Dati (GDPR) impone ai titolari del trattamento, incluse le banche, l’adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio. Gli accessi abusivi ai dati configurano una violazione degli articoli 5 e 32 del GDPR, che disciplinano rispettivamente i principi di trattamento e la sicurezza dei dati personali.
Le banche, in quanto titolari di trattamento di categorie particolari di dati e di informazioni finanziarie sensibili, sono soggette a obblighi rafforzati. Devono implementare sistemi di autenticazione, tracciabilità degli accessi e controlli periodici per verificare che solo il personale autorizzato acceda ai dati per finalità legittime e documentabili.
Le implicazioni per il settore bancario
Il provvedimento sanzionatorio evidenzia come la mera predisposizione formale di policy aziendali non sia sufficiente se mancano controlli effettivi e tempestivi. Gli istituti di credito devono dotarsi di sistemi di alert automatici che segnalino comportamenti anomali, come accessi ripetuti a posizioni di clienti non in gestione al dipendente, o consultazioni al di fuori dell’orario lavorativo.
La responsabilità del titolare del trattamento non si limita alla prevenzione, ma si estende anche alla capacità di rilevare tempestivamente le violazioni e di adottare misure correttive immediate. Il principio di accountability sancito dall’articolo 5, paragrafo 2, del GDPR richiede che le banche siano in grado di dimostrare la conformità delle proprie prassi operative.
Conseguenze pratiche per i professionisti
Per i professionisti del settore legale e bancario, questo caso costituisce un richiamo all’importanza di audit periodici sui sistemi di accesso ai dati. I Data Protection Officer (DPO) degli istituti finanziari devono rafforzare i programmi di formazione del personale e implementare verifiche a campione sulle attività di consultazione delle banche dati.
Dal punto di vista civilistico, gli accessi abusivi possono configurare anche responsabilità contrattuale nei confronti dei clienti danneggiati, oltre alle sanzioni amministrative del Garante. I clienti potrebbero richiedere il risarcimento del danno patrimoniale e non patrimoniale derivante dalla violazione della riservatezza delle proprie informazioni finanziarie.
Domande frequenti
Quali sono le sanzioni previste dal GDPR per accessi abusivi ai dati?
Il GDPR prevede sanzioni amministrative fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore. L’entità della sanzione dipende dalla gravità della violazione, dal numero di interessati coinvolti e dalle misure adottate per mitigare il danno.
Chi è responsabile degli accessi abusivi compiuti dai dipendenti?
Il titolare del trattamento, in questo caso la banca, è responsabile in via primaria anche per le condotte dei propri dipendenti. L’istituto deve dimostrare di aver adottato tutte le misure tecniche e organizzative adeguate per prevenire tali accessi.
I clienti possono richiedere un risarcimento per accessi abusivi ai propri dati?
Sì, l’articolo 82 del GDPR riconosce agli interessati il diritto al risarcimento del danno materiale o immateriale subito a causa di una violazione del regolamento. Il cliente può agire contro la banca per ottenere il ristoro dei danni patrimoniali e non patrimoniali conseguenti alla violazione della privacy.
Fonte di riferimento: Diritto.it