La Prof.ssa Virginia Zambrano è PhD in Diritto Civile presso l'Università di Napoli, attualmente è docente…
Il Garante Privacy impone a Intesa Sanpaolo l’obbligo di informare i clienti della violazione dei dati entro 20 giorni
Il 5 novembre 2024, il Garante per la protezione dei dati personali ha emesso un provvedimento nei confronti di Intesa Sanpaolo S.p.A., stabilendo un termine di 20 giorni per notificare ai clienti coinvolti una violazione dei loro dati personali e bancari. La violazione è stata causata da accessi non autorizzati realizzati da un dipendente della Banca.
La decisione dell’Autorità segue una serie di chiarimenti inviati dall’Istituto bancario in risposta a una richiesta di informazioni. Diversamente da quanto inizialmente ritenuto da Intesa Sanpaolo, il Garante ha valutato che l’incidente presenti un rischio elevato per i diritti e le libertà degli individui interessati. Tale rischio è stato attribuito alla natura e alla gravità della violazione, oltre alle potenziali conseguenze per le persone coinvolte. Tra queste, il danno reputazionale e la divulgazione di informazioni sullo stato patrimoniale sono state considerate particolarmente rilevanti.
Il provvedimento del Garante si è reso necessario poiché le comunicazioni preliminari fornite dalla Banca non avevano sufficientemente evidenziato l’entità della violazione. Questa ampiezza è emersa in maniera più chiara solo successivamente, sia attraverso resoconti giornalistici che mediante ulteriori dettagli forniti dalla Banca stessa.
Oltre alla prescrizione di notificare la violazione ai clienti, il Garante ha richiesto a Intesa Sanpaolo di fornire, entro 30 giorni, una documentazione dettagliata sulle misure adottate per garantire la conformità alle disposizioni impartite. L’Autorità continuerà a monitorare la situazione e valuterà l’adeguatezza delle misure di sicurezza implementate dall’Istituto nel corso di un’istruttoria ancora in corso.
Approfondimenti: