Il recente data breach subito da Intesa San Paolo per l’acceso indebito di un proprio dipendente scoperchia un tema scottante, sia sostanzialmente che a livello di immagine. Vediamo gli scenari.
Data breach e dovere di informare gli interessati: il provvedimento del Garante
Quello di Intesa San Paolo non è il primo i diritti e le libertà delle persone fisiche che ha interessato il sistema bancario e non sarà l’ultimo: a una prima lettura non si capisce, quindi, per quali ragioni non sia semplicemente stata avviata un’istruttoria.
Il punto è che la prima lettura non tiene conto di un dato rilevante, ossia che il titolare del trattamento dei dati personali, oltre a dover comunicare l’avvenuto data breach al Garante deve, a condizioni date, informare anche gli interessati.
L’articolo 34, paragrafo 1, del GDPR, in particolare, recita che “Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.
Intesa San Paolo non ha comunicato nulla agli interessati: questo perché, come da comunicato stampa, gli accessi abusivi sarebbero stati numericamente molto inferiori alle “migliaia” riportate dalla stampa locale e nazionale.
Nel proprio comunicato stampa, il Garante, effettivamente, ha fatto riferimento anche al parametro numerico degli accessi abusivi.
Intesa o il Garante: chi ha ragione?
Per il Garante italiano, “il titolare dovrebbe fornire consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibili conseguenze negative di una violazione dei dati ad esempio reimpostando le password in caso di compromissione delle credenziali di accesso”.
Diciamo che la violazione dei dati bancari di utenti di un Istituto da parte di un dipendente infedele lede sicuramente i diritti e le libertà degli interessati.
Questo sia perché coordinate bancarie, stato patrimoniale, portafoglio titoli etc. sono certamente dati cosiddetti semisensibili, sia perché gli accessi abusivi possono aver determinato anche la compromissione degli accessi riservati e delle relative credenziali.
Da qui la necessità di avvisare gli interessati.
La difesa dell’Istituto, per contro, è che “era già stato verificato ed è tuttora confermato che non ci sono evidenze di trasferimento di dati all’esterno della Banca, e in particolare di comunicazioni a terzi, né di anomalia al sistema IT, che non è stato impattato”.
In altri termini: l’accesso abusivo non avrebbe determinato la fuoriuscita evidente di dati all’esterno dei confini dell’Istituto, dove erano già tati trattati sia lecitamente che abusivamente.
Sotto il profilo strettamente cautelativo, qualunque DPO avrebbe consigliato la comunicazione agli interessati.
Sotto il profilo del potenziale danno all’Istituto, è chiaro che l’interesse era minimizzare la quantità di informazioni verso i terzi, fossero pure gli interessati.
Detto questo, se veramente i dati non hanno “varcato le soglie” dell’Istituto, dare avviso agli interessati sarebbe stato anche più efficace e meno impattante di quanto non lo sia ora.
Data breach: avvisare gli interessati prima di essere obbligati dal garante
Da quanto è dato capire, il data breach è stato eclatante più a livello mediatico che dal punto di vista del vero e proprio impatto sugli interessati.
La tesi di Intesa San paolo per cui l’avviso agli interessati non era necessario a fronte della corretta gestione del data breach è smentita dai fatti, nella misura in cui è comunque noto dalla stampa che la violazione è avvenuta.
Lo strepitus fori, in altre parole, determina anche un obbligo di informativa: da cliente di un Istituto finito all’onore delle cronache per un episodio così eclatante, mi aspetterei di essere contattato per sapere se sono stato o meno oggetto di attenzioni indesiderate.
Va anche detto che, dopo il dossieraggio bancario ai danni della Presidente del Consiglio dei Ministri, Giorgia Meloni, l’Autorità Garante per il trattamento dei dati personali non poteva certamente lasciar passare una violazione de genere non notificata agli interessati.
Questo, ovviamente, al netto dei precedenti – illustri – come quello che ha interessato Unicredit anni orsono.
In conclusione: realtà di grandi dimensioni, che operano in settori sensibili, devono comunque avvisare gli interessati della violazione e dell’entità almeno presunta della stessa prima che sia il Garante a imporglielo.
Perché è quasi certo che verrà loro imposto con le modalità che abbiamo osservato in questa occasione.