Intesa Sanpaolo Spa ha 20 giorni di tempo per informare i clienti coinvolti nella violazione dei propri dati personali e bancari, avvenuta attraverso accessi indebiti effettuati da un dipendente della Banca.
È quanto deciso dal Garante Privacy a seguito dei chiarimenti inviati dall’Istituto bancario in risposta alla richiesta di informazioni dell’Autorità.
L’Autorità ritiene infatti, diversamente da quanto valutato dalla Banca, che la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone coinvolte, tenuto conto della natura della violazione, delle categorie dei dati trattati, della gravità e delle conseguenze che ne potrebbero derivare (ad es., la divulgazione di notizie riguardanti lo stato patrimoniale, il danno reputazionale).
Il provvedimento si è reso necessario poiché nelle prime comunicazioni inviate dalla Banca al Garante non era stata adeguatamente messa in evidenza l’ampiezza della violazione, come invece è poi risultata sia dagli articoli di stampa sia dai riscontri dalla stessa forniti.
Il Garante, che si riserva di valutare l’adeguatezza delle misure di sicurezza adottate nell’ambito di un’istruttoria tuttora in corso, ha inoltre ingiunto alla Banca di trasmettere all’Autorità, entro trenta giorni, un riscontro adeguatamente documentato sulle iniziative intraprese al fine di dare piena attuazione a quanto prescritto.
Con riferimento al comunicato stampa reso noto oggi dall’Autorità Garante per la protezione dei dati personali in relazione al suo provvedimento del 2 novembre, Intesa Sanpaolo ribadisce il valore prioritario che attribuisce all’assicurare il massimo livello di sicurezza per i dati dei propri clienti.
Con questo spirito la Banca ha già introdotto ulteriori sistemi e processi di controllo e assicura la massima collaborazione alle Autorità competenti, nella convinzione che, anche grazie a questa collaborazione, il livello di sicurezza possa ulteriormente migliorare.
La Banca conferma inoltre di aver già avviato le attività per rispondere alle richieste del Garante.
Intesa Sanpaolo ha potuto svolgere nel frattempo ulteriori verifiche e analisi riguardo agli accessi ai dati di clienti effettuati da parte del dipendente, poi licenziato, da cui emerge che il numero di clienti interessati da accessi anomali è sensibilmente inferiore rispetto al numero sin qui diffuso dalla stampa.
Inoltre, era già stato verificato ed è tuttora confermato che non ci sono evidenze di trasferimento di dati all’esterno della Banca, ed in particolare di comunicazioni a terzi, né di anomalia al sistema IT, che non è stato impattato.