g-docweb-display Portlet

Provvedimento su data breach - 10 dicembre 2020 [9557555]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9557555]

Provvedimento su data breach - 10 dicembre 2020

Registro dei provvedimenti
n. 264 del 10 dicembre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTA la notifica di violazione dei dati personali trasmessa, ai sensi dell’art. 33 del Regolamento, il 12 novembre 2020 da Banca Popolare Pugliese S.c.p.a., a seguito della segnalazione da parte di un cliente, con la quale tale titolare del trattamento ha rappresentato all’Autorità di aver subito una non meglio precisata violazione di dati personali a causa di un’azione accidentale di un responsabile esterno del trattamento, che avrebbe coinvolto i dati anagrafici, di contatto, bancari e relativi ai pagamenti di un numero non determinato di clienti;

VISTA la successiva integrazione della notifica di violazione dei dati personali, ai sensi dell’art. 33, par. 4, del Regolamento, trasmessa il 7 dicembre 2020, con la quale il titolare ha rappresentato che:

- a causa di un’azione accidentale da parte di un responsabile del trattamento, incaricato della postalizzazione, si è determinato un disallineamento nella predisposizione delle comunicazioni da inviare ai clienti per conto della Banca, da cui è derivato l'invio di documentazione bancaria a soggetti diversi dagli effettivi destinatari;

-  tale errato invio ha coinvolto 746 interessati, clienti della Banca;

- i dati contenuti nelle comunicazioni riguardavano: dati anagrafici (nome e cognome), numero e movimentazione di rapporti bancari, avviso di scadenza titoli, esposizione debitoria, avviso di scadenza ed esito effetti cambiari, scadenza estero, gestione incassi, avvisi di segnalazione in CRIF, messa in mora.

VISTA la valutazione effettuata dal titolare del trattamento in merito alla gravità della violazione, ritenuta di livello medio, in considerazione del fatto che: “Dei soggetti che hanno ricevuto la documentazione disguidata, solo 53 risiedono nello stesso luogo degli interessati violati mentre i restanti destinatari della documentazione stessa risiedono in località diverse da detti interessati e, pertanto, tra gli stessi non intercorre alcun rapporto. Peraltro, le comunicazioni pregiudizievoli (es, rate impagate e preavvisi di segnalazione in CRIF) rappresentano una percentuale ridotta rispetto alle altre tipologie di comunicazioni disguidate. Si fa presente, infine, che la Banca ha provveduto ad identificare i destinatari delle comunicazioni, invitandoli formalmente a non tenere conto delle comunicazioni stesse“;

VISTA la conseguente decisione del titolare di non effettuare la comunicazione agli interessati coinvolti, ai sensi dell’art. 34 del Regolamento;

VISTO l’art. 33 par. 1 del Regolamento che indica che la notifica di violazione dei dati personali deve essere effettuata dal titolare “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza”;

VISTO l’art. 33 par. 3 del Regolamento che individua le informazioni da fornire all’Autorità di controllo tramite la notifica;

VISTO l’art. 33 par. 4 del Regolamento che stabilisce che le informazioni di cui al punto precedente possono essere fornite per fasi successive “qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente”;

VISTO il considerando n. 87 del Regolamento che precisa che la notifica di violazione dei dati personali, inviata nei tempi stabiliti, permette all’Autorità di controllo di intervenire “nell’ambito dei suoi compiti e poteri previsti dal presente regolamento”;

VISTE le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” adottate dal Comitato europeo per la protezione dei dati il 25 maggio 2018, che hanno precisato come la notifica per fasi consenta al titolare del trattamento di fornire le informazioni di dettaglio sulla violazione in momenti successivi, salvaguardando così la necessità di fornire tempestivamente all’Autorità di controllo le informazioni necessarie a fronteggiare gli effetti negativi della violazione:  “Il fatto che non siano disponibili informazioni precise (ad esempio il numero esatto di interessati coinvolti) non dovrebbe costituire un ostacolo alla notifica tempestiva delle violazioni. Il regolamento consente di effettuare approssimazioni sul numero di persone fisiche interessate e di registrazioni dei dati personali coinvolte. Ci si dovrebbe preoccupare di far fronte agli effetti negativi della violazione piuttosto che di fornire cifre esatte. Di conseguenza, quando è evidente che c’è stata una violazione ma non se ne conosce ancora la portata, un modo sicuro per soddisfare gli obblighi di notifica è procedere a una notifica per fasi”;

VISTO l’art. 34, par. 1, del Regolamento ai sensi del quale “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo”, fatti salvi i casi in cui tale comunicazione non è richiesta in quanto risulta essere soddisfatta una delle condizioni previste al par. 3 del medesimo articolo;

VISTI i considerando nn. 75 e 76 del Regolamento per cui, di norma, nella valutazione dei rischi si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbe essere determinati in base a una valutazione oggettiva;

VISTE le citate “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” che hanno, fra l’altro, individuato i fattori da considerare nella valutazione del rischio per i diritti e le libertà delle persone fisiche: tipo di violazione; natura, carattere sensibile e volume dei dati personali; facilità di identificazione delle persone fisiche; gravità delle conseguenze per le persone fisiche; caratteristiche particolari dell’interessato; caratteristiche particolari del titolare del trattamento dei dati; numero di persone fisiche interessate;

CONSIDERATO che l’evento relativo all’errata spedizione delle comunicazioni bancarie era noto al titolare del trattamento al momento di effettuare la notifica preliminare all’Autorità, almeno nelle sue caratteristiche generali, in quanto segnalato al titolare stesso da parte di uno dei destinatari delle errate comunicazioni;

RILEVATO che le informazioni presenti nella notifica inviata dal titolare del trattamento non possono comunque ritenersi sufficienti, in quanto non hanno descritto in alcun modo, nemmeno sommariamente, l’evento occorso, limitando così i possibili interventi dell’Autorità;

RILEVATO l’elevato numero di persone fisiche a cui si riferiscono i dati personali oggetto di violazione;

CONSIDERATA la tipologia di dati personali oggetto di violazione, riguardanti anche i movimenti bancari, l’esposizione debitoria, la messa in mora e l’avviso di segnalazione in CRIF degli interessati, tali per cui agli interessati può derivare un danno reputazionale rilevante;

CONSIDERATO altresì che dai movimenti bancari è possibile ottenere informazioni circa le abitudini di consumo di un interessato, e potenzialmente desumere informazioni anche di natura particolare circa la sua salute o le sue idee politiche e religiose;

CONSIDERATO inoltre che il ritardo nella ricezione dell’avviso di segnalazione in CRIF può aver impedito agli interessati di attuare, nei tempi previsti dalla legge, le azioni necessarie a scongiurare tale segnalazione;

CONSIDERATO che, alla luce di un complessivo esame delle circostanze portate all’attenzione dell’Autorità, degli elementi acquisiti e delle considerazioni svolte, la violazione dei dati personali in argomento è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, condizione per cui è richiesta la comunicazione agli interessati;

RAVVISATA la necessità di esercitare il potere dell’Autorità di rivolgere un ammonimento, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, al titolare del trattamento circa l’incompletezza delle informazioni fornite nella notifica preliminare, che è priva della descrizione, anche sommaria, della violazione;

RAVVISATA altresì la necessità di esercitare il potere dell’Autorità di ingiungere, ai sensi dell’art. 58, par. 2, lett. e), del Regolamento, al titolare del trattamento di comunicare agli interessati la violazione dei dati personali;

RITENUTO necessario disporre che la predetta comunicazione sia effettuata senza ritardo e comunque entro dieci giorni dalla data di ricezione del presente provvedimento, in ragione del fatto che tali interessati sono noti al titolare in quanto suoi clienti;

TENUTO CONTO che, ai sensi dell’art. 83, par. 5, lett. e), del Regolamento, “l’inosservanza di un ordine da parte dell'autorità di controllo di cui all'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”;

RITENUTO, altresì, ai sensi dell’art. 58, par. 1, lett. a), del Regolamento e art. 157 del Codice, di ingiungere a Banca Popolare Pugliese S.c.p.a di fornire all’Autorità, entro i successivi sette giorni, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di comunicare la violazione agli interessati, nonché alle eventuali ulteriori misure adottate per attenuare i possibili effetti negativi della violazione nei confronti degli interessati;

RITENUTO che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ammonisce Banca Popolare Pugliese S.c.p.a in merito all’incompletezza delle informazioni riportate nella notifica di violazione dei dati personali inviata all’Autorità il 12 novembre 2020;

2) ai sensi dell’art. 58, par. 2, lett. e), del Regolamento, ingiunge a Banca Popolare Pugliese S.c.p.a di comunicare la violazione dei dati personali a tutti gli interessati coinvolti senza ritardo, e comunque entro dieci giorni dalla data di ricezione del presente provvedimento, fornendo almeno le informazioni di cui all’art. 34, par. 2, del Regolamento;

3) ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, ingiunge altresì a Banca Popolare Pugliese S.c.p.a di fornire all’Autorità, entro sette giorni dal completamento delle comunicazioni di cui al punto 2) precedente, un riscontro adeguatamente documentato in merito alle iniziative intraprese e alle eventuali ulteriori misure adottate per attenuare i possibili effetti pregiudizievoli della violazione nei confronti degli interessati. Si ricorda che il mancato riscontro alla presente richiesta è punito con la sanzione amministrativa ai sensi del combinato disposto di cui agli artt. 83, par. 5, lett. e), del Regolamento e 166 del Codice;

4) dispone che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 dicembre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei