Con comunicato in data 5 novembre 2024, il Garante per la protezione dei dati personali ha pubblicato un avviso relativo a una violazione dei dati presso Intesa Sanpaolo S.p.A.
Un dipendente della banca avrebbe effettuato accessi non autorizzati ai dati personali e bancari di circa 3.500 clienti, esponendo l’organizzazione a gravi rischi di immagine e possibili sanzioni in caso di future inadempienze. Il Garante ha richiesto alla banca di informare gli interessati entro 20 giorni, sottolineando l’importanza di una gestione trasparente e tempestiva per mitigare i rischi per i soggetti coinvolti. Per approfondimenti si consiglia: Formulario commentato della privacy
Indice
1. Che cos’è un data breach secondo il GDPR
Il GDPR (Regolamento UE 2016/679) definisce il data breach come una violazione della sicurezza che comporta accidentalmente o illecitamente la distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trattati.
La definizione include sia eventi accidentali sia atti dolosi, come errori umani o attacchi informatici. Il rischio per i diritti e le libertà degli interessati è il parametro che guida la gestione e notifica del data breach, e nei casi gravi può comportare obblighi specifici e potenziali sanzioni. Per approfondimenti si consiglia: Formulario commentato della privacy
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
60.80 €
2. Obblighi di notifica e comunicazione per le organizzazioni in caso di data breach
Il GDPR impone alle organizzazioni specifici obblighi di risposta a fronte di un data breach, illustrati negli articoli 33 e 34:
- Notifica al Garante (art. 33 GDPR): il titolare del trattamento deve notificare la violazione all’autorità di controllo competente entro 72 ore dalla sua scoperta, a meno che la violazione non comporti rischi significativi per i diritti e le libertà degli interessati. La notifica deve includere una descrizione chiara della violazione, il numero e le categorie di dati e soggetti coinvolti e le misure adottate per limitarne l’impatto.
- Comunicazione agli interessati (art. 34 GDPR): se la violazione comporta un rischio elevato per i diritti e le libertà degli interessati, il titolare del trattamento deve comunicarla direttamente alle persone interessate. La comunicazione agli interessati deve essere chiara, comprensibile e tempestiva. Nel caso di Intesa Sanpaolo, il Garante ha ordinato alla banca di procedere con la comunicazione agli interessati entro 20 giorni dalla notifica, in linea con il principio di trasparenza previsto dal GDPR.
- Documentazione interna: ogni violazione deve essere documentata accuratamente, includendo i fatti relativi alla violazione, le sue conseguenze e le misure adottate. Una registrazione dettagliata consente di rispondere a eventuali verifiche da parte delle autorità e di identificare possibili punti di miglioramento per il futuro.
Potrebbero interessarti anche:
3. L’importanza della tempestività e le conseguenze di una gestione inefficace
Una gestione lenta o inadeguata delle violazioni dei dati può comportare gravi conseguenze legali, oltre che danni alla reputazione. In casi come quello di Intesa Sanpaolo, la mancata informazione agli interessati potrebbe erodere la fiducia degli utenti, con conseguente danno reputazionale, oltre alla sanzione del Garante, che non sarebbe la prima e verosimilmente nemmeno l’ultima nel panorama bancario italiano.
Il GDPR, infatti, prevede sanzioni fino a 10 milioni di euro o al 2% del fatturato globale per le aziende che non rispettano le norme sui data breach. In questo contesto, il caso di Intesa Sanpaolo mette in evidenza la necessità di essere pronti a rispondere in modo rapido e conforme alle norme, dimostrando trasparenza e tutela per gli interessati.
4. Le migliori prassi per una procedura di gestione del data breach efficace
Per garantire una gestione efficace delle violazioni dei dati personali, le organizzazioni dovrebbero adottare una procedura strutturata che includa:
- Pianificazione e prevenzione: stabilire piani di risposta ai data breach con procedure chiare e assegnazione dei ruoli è essenziale. Le politiche interne dovrebbero mirare a ridurre il rischio di errori e accessi non autorizzati, attraverso formazione del personale e misure tecniche come la crittografia e il controllo degli accessi.
- Monitoraggio continuo: implementare sistemi di monitoraggio e allerta permette di rilevare rapidamente attività sospette, evitando che l’incidente si propaghi. Questo passaggio consente di intervenire tempestivamente, riducendo l’impatto della violazione.
- Identificazione e contenimento: una volta rilevato il data breach, è fondamentale procedere al suo contenimento. Questa fase prevede l’isolamento dei sistemi compromessi e il blocco dell’accesso ai dati per evitare ulteriori compromissioni.
- Valutazione del rischio: comprendere la natura e la gravità della violazione è fondamentale per determinare il livello di rischio per gli interessati. Le aziende devono identificare le categorie di dati coinvolti e valutare il potenziale danno per ogni soggetto.
- Notifica e comunicazione: rispettare i tempi e le modalità di notifica stabiliti dal GDPR è cruciale. La comunicazione agli interessati deve essere chiara e trasparente, indicando le misure adottate e i potenziali rischi per la loro sicurezza.
- Documentazione: registrare tutti i dettagli relativi alla gestione della violazione, inclusi i passaggi seguiti e le azioni intraprese. Questo non solo dimostra la conformità al GDPR, ma fornisce una base utile per future verifiche e per il miglioramento delle misure di sicurezza interne.
- Revisione e miglioramento post-incidente: una volta risolta la violazione, è essenziale analizzare l’accaduto e le azioni intraprese per rafforzare il sistema di sicurezza e migliorare le procedure di risposta.
5. Conclusioni
Il caso di Intesa Sanpaolo sottolinea come i data breach non siano solo problemi tecnologici, ma veri e propri test di fiducia per le organizzazioni. Un incidente nella gestione dei dati, per di più quando si verifica in seno all’azienda stessa, mette in gioco molto di più della conformità normativa, ma la trasparenza, la responsabilità verso i clienti e la credibilità dell’istituzione finanziaria stessa.
Le aziende che vogliono affrontare questi rischi in modo efficace devono andare oltre la semplice ottemperanza al GDPR, adottando un approccio preventivo e reattivo che sia all’altezza delle aspettative del pubblico e delle autorità. Perché quando la protezione dei dati personali fallisce, la conseguenza non è solo una potenziale sanzione, ma una crepa nella reputazione aziendale che può essere difficile da riparare
Scrivi un commento
Accedi per poter inserire un commento