Intesa Sanpaolo Spa ha venti giorni di tempo per informare i clienti coinvolti nella violazione dei propri dati personali e bancari, avvenuta attraverso accessi indebiti effettuati da un dipendente della Banca.
È quanto deciso dal Garante Privacy a seguito dei chiarimenti inviati dall’Istituto bancario in risposta alla richiesta di informazioni dell’Autorità.
L’Autorità ritiene infatti, diversamente da quanto valutato dalla Banca, che la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone coinvolte, tenuto conto della natura della violazione, delle categorie dei dati trattati, della gravità e delle conseguenze che ne potrebbero derivare (ad es., la divulgazione di notizie riguardanti lo stato patrimoniale, il danno reputazionale).
Il provvedimento si è reso necessario poiché nelle prime comunicazioni inviate dalla Banca al Garante non era stata adeguatamente messa in evidenza l’ampiezza della violazione, come invece è poi risultata sia dagli articoli di stampa sia dai riscontri dalla stessa forniti.
Il Garante, che si riserva di valutare l’adeguatezza delle misure di sicurezza adottate nell’ambito di un’istruttoria tuttora in corso, ha inoltre ingiunto alla Banca di trasmettere all’Autorità, entro trenta giorni, un riscontro adeguatamente documentato sulle iniziative intraprese al fine di dare piena attuazione a quanto prescritto.
Dal canto suo Banca intesa San Paolo ha diffuso una nota con la quale viene “Ribadito il valore prioritario” che l’Istituto attribuisce “all’assicurare il massimo livello di sicurezza per i dati dei propri clienti”. Inoltre, Intesa San Paolo ha comunicato che “ha potuto svolgere ulteriori verifiche e analisi riguardo agli accessi ai dati di clienti effettuati da parte del dipendete, poi licenziato, da cui emerge che il numero dei clienti interessati da accessi anomali è sensibilmente inferiore rispetto al numero si qui diffuso dalla stampa”. Infine, viene confermata la massima collaborazione con le Autorità dipendenti.