Il caso Unicredit S.p.A - Violazione dei dati personali degli utenti
 |
|
Il Garante per la privacy ha emesso il provvedimento n.99 del 10 giugno 2020 nel cui ha ordinato all'istituto bancario Unicredit S.p.A il pagamento di una sanzione di 600 mila euro al termine di una complessa istruttoria riguardante un data breach causato da accessi abusivi ai dati personali di oltre 700 mila clienti, tra aprile 2016 e luglio 2017. |
Il caso
La Società, in data 25 luglio 2017, ha comunicato all'
Autorità Garante di aver subito un’intrusione informatica, verificatasi in due momenti distinti in un arco temporale compreso tra aprile 2016 e luglio 2017, che ha determinato
accessi non autorizzati a dati personali riferiti a circa 762.000 interessati; tali accessi abusivi sono stati effettuati con le utenze di alcuni dipendenti di un
partner commerciale esterno (la società Penta Finanziamenti Italia S.r.l., di seguito “Penta”) attraverso un applicativo denominato
Speedy Arena.
In particolare, è risultato che i dati, oggetto della violazione, consistevano in: dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento e informazioni relativi a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban;
Provvedimento n. 87 del 28 marzo 2019
Il Garante ha adottato il
provvedimento n. 87 , con il quale ha dichiarato illecito il trattamento dei dati personali posto in essere dalla banca in qualità di titolare del trattamento, perché effettuato in violazione delle misure minime di sicurezza riguardante alla privacy e delle misure prescritte con il
provvedimento n. 192 del 12 maggio 2011, recante “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie".
Provvedimento n. 99 del 10 giugno 2020 e la sanzione applicata
Dopo il provvedimento n.87 sopracitato e le contestazione presentate dalla Banca , Il
Garante per la privacy ha emesso il
provvedimento n.99 nel cui ha ordinato al riferito istituto bancario il pagamento di una
sanzione di 600 mila euro al termine di una complessa istruttoria riguardante un
data breach causato da accessi abusivi ai dati personali di oltre 700 mila clienti, tra aprile 2016 e luglio 2017. Era stata la banca stessa, a fine luglio 2017, a comunicare all’Autorità, la violazione subita.
Gli accessi abusivi, avvenuti in due momenti distinti, erano stati effettuati utilizzando le utenze di alcuni dipendenti di un partner commerciale esterno alla banca ed avevano riguardato una molteplicità di informazioni (dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento e informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, "approssimazione della classificazione creditizia del cliente" e codice Iban).
L’attuale sanzione, determinata applicando la disciplina precedente l’entrata in vigore del GDPR, segue la contestazione di violazioni amministrative notificata alla banca nel maggio 2019, originata a sua volta da un provvedimento adottato dall’Autorità nel marzo 2019 con il quale il Garante aveva accertato la violazione, da parte dell’istituto bancario, delle misure minime di sicurezza previste dal Codice privacy e il mancato rispetto delle regole fissate dalla stessa Autorità nel provvedimento n. 192 del 12 maggio 2011 in materia di tracciamento delle operazioni bancarie.
Il Garante quindi, considerati i rilevanti profili di illiceità del trattamento determinati dalla mancata adozione di misure tecniche e organizzative adeguate e valutate le argomentazioni addotte dalla banca, ha ritenuto necessario l’applicazione della sanzione al fine di salvaguardare i diritti e le libertà delle persone coinvolte, a prescindere dalla notificazione della violazione di dati personali effettuata dalla banca.
Nel determinare l’ammontare dell’importo in 600 mila euro, l’Autorità ha tenuto conto di diversi elementi, tra i quali il fatto che le violazioni sono state commesse nei confronti di un rilevante numero di persone e che la banca - che non ha subito precedenti provvedimenti sanzionatori del Garante - a seguito del data breach ha adottato diverse misure e iniziative volte a rafforzare la sicurezza dei propri sistemi informatici.
Proteggi la tu azienda da Data Breach e relative sanzioni!
La consulenza privacy offerta dal nostro team esperto accompagna le aziende nel rispetto più completo del GDPR!
Agire in anticipo è la soluzione migliore! Se vuoi saperne di più iscriviti al nostro Corso Base GDPR in modalità online!
