Lo scorso aprile, l’Autorità polacca per la protezione dei dati (di seguito, l’”Autorità garante” o “UODO”) ha annunciato di essere venuta a conoscenza, tramite i mass media locali, di una violazione di dati personali che ha interessato un importante istituto di credito.
Nel caso di specie, sono stati resi pubblici documenti bancari contenuti all’interno di un pacco abbandonato (a seguito del furto subito dal corriere incaricato del trasporto) in un complesso residenziale. La documentazione e le informazioni contenute nel pacco erano riferite a 158 persone; in particolare, tra i dati personali oggetto di violazione, rientravano nomi e cognomi, date di nascita, numeri di conto bancario, indirizzo e dettagli di contatto, numeri di identificazione nazionale (numeri PESEL), nomi utente e password bancari, dati sui guadagni, serie e numeri di carte d’identità, informazioni sui prodotti bancari, ecc.
A giustificazione della mancata segnalazione dell’accaduto e della violazione di dati personali all’Autorità garante ed agli interessati, la banca ha addotto il tempestivo ritrovamento del pacco da parte di un terzo, che immediatamente ha consegnato quanto ritrovato ad una stazione di polizia, adducendo di non aver effettuato copie della documentazione contenuta. Ulteriore giustificazione a sostegno della mancata denuncia è stata la circostanza per cui non risultasse mancante alcun documento presente all’interno del pacco.
Nonostante la banca abbia intrapreso a seguito dell’incidente specifiche azioni correttive per prevenire e scongiurare il ripetersi di simili episodi, l’UODO ha ritenuto che la prima avesse commesso gravi violazioni del GDPR: è stato violato l’art. 33 del GDPR per mancata notifica del data breach all’Autorità garante entro il termine perentorio di 72 ore dalla scoperta, nonché l’art. 34 del GDPR per non aver segnalato tempestivamente l’accaduto agli interessati i cui dati personali erano coinvolti nella violazione.
L’UODO, in particolare, ha sottolineato che la mancata segnalazione del data breach subito da parte della banca all’Autorità garante ha privato quest’ultima della possibilità di valutare in modo adeguato non solo la suddetta violazione, e nello specifico il rischio di violazione dei diritti e delle libertà di una persona fisica e gli impatti su questi, ma anche di verificare se la banca, in qualità di Titolare del trattamento, avesse concretamente adottato misure adeguate per porre rimedio alla violazione e ridurre al minimo gli effetti negativi per gli interessati. Con riferimento, invece, alla mancata segnalazione della violazione agli interessati, l’Autorità garante ha osservato che costoro sono stati privati della possibilità di rispondere adeguatamente alla violazione e dell’opportunità di valutare autonomamente le possibili gravi conseguenze della stessa.
L’UODO, nell’effettuare le proprie valutazioni del caso, ha, inoltre, ritenuto irrilevante che i dati personali oggetto della violazione fossero a disposizione di una sola persona, considerando, al contrario, rilevante il mero fatto che il pacco fosse stato ritrovato da un terzo soggetto. In ogni caso, infine, l’Autorità garante ha osservato che non vi era stata la possibilità di comprendere con certezza quanti ulteriori eventuali terzi soggetti non autorizzati potrebbero aver avuto accesso in precedenza al pacco ritrovato, contenente la documentazione bancaria riferita agli interessati.
L’Autorità garante, ritenendo che la banca avrebbe dovuto notificare l’evento tanto alla prima quanto agli interessati, ha imposto, per le violazioni commesse, una sanzione amministrativa di 1,4 milioni di PLN (corrispondente a circa euro 330.000) e ha ordinato alla stessa di segnalare l’incidente agli interessati coinvolti entro tre giorni dalla data di ricevimento della decisione.
