Dipendenti condividono on line l’email ironica di un cliente: banca multata per violazione della privacy
Il 17 dicembre scorso, l'Autorità Nazionale di Vigilanza rumena (il Garante privacy o ANSPDCP) ha comminato la sanzione di 487.380 lei (pari a 100.000 euro) a un istituto bancario per violazione dell'articolo 32 del GDPR.
L'indagine avviata a seguito del ricevimento di denunce riguardanti la violazione della privacy e della sicurezza dei dati personali ha portato alla luce una situazione probabilmente più comune di quanto si possa pensare ma altrettanto grave.
Divertiti dalla risposta sarcastica di un cliente su come avrebbe utilizzato il denaro che aveva chiesto di prelevare, giustificazione richiesta dalle normative antiriciclaggio, gli impiegati della suddetta banca facevano dapprima circolare internamente, tra colleghi, il "simpatico" messaggio per poi inviarlo tramite l’applicazione Whatsapp e pubblicarlo su Facebook. Il post, ben presto divenuto virale, all'attenzione di migliaia di utenti, è infine divenuto oggetto di varie notizie sul web.
Come rilevato dall'ANSPDCP, tali circostanze hanno portato alla divulgazione e all'accesso non autorizzato a determinati dati personali, tra i quali nome e cognome, indirizzi e-mail, dati comportamentali, preferenze personali, valore della transazione finanziaria, luogo di lavoro, numero di telefono di servizio, di ben quattro soggetti (un cliente e tre dipendenti), sebbene ai sensi dell’articolo 5 lettera f) del Regolamento Generale sulla Protezione dei Dati, l'operatore avesse l'obbligo di rispettare il principio di integrità e riservatezza dei dati personali.
Oltre alla evidente incoscienza degli atti compiuti dal personale, dalla vicenda emerge tuttavia un secondo e diffuso problema: la formazione interna dei dipendenti sul rispetto della normativa in materia di protezione dei dati personali degli interessati è spesso carente. Tale attività è nondimeno parte integrante delle misure tecniche e organizzative che gli operatori sono obbligati ad adottare, dovendo garantire un livello di sicurezza corrispondente ai rischi insiti nel trattamento.
Infine, l’Autorità ha tenuto anche in conto il fatto che divulgare pubblicamente, in particolare on line, dati personali ha senza dubbio generato una serie di danni morali, nonché altri svantaggi economici e sociali significativi per l’individuo colpito dalla violazione.
Il comunicato dell'ANSPDCP è disponibile in lingua originale al seguente link.
