Il data breach? Basta un pacco smarrito. Garante privacy polacco sanziona un istituto di credito per 330.000 euro

Il Garante Privacy polacco sanziona un istituto di credito per la mancata notifica di un data breach relativo ad un pacco smarrito da parte di un corriere.

Lo scorso 12 marzo 2024, il Garante per la protezione dei dati polacco ha sanzionato per € 330.000 (equivalenti a 1.440.549 PLN) un istituto di credito e ha imposto, contestualmente alla sanzione amministrativa, anche l’ordine di notifica della violazione a tutti gli interessati coinvolti nella stessa entro tre giorni.

Queste le violazioni contestate:

• mancata notifica all’Autorità di controllo ai sensi dell’art. 33, par. 1, GDPR;
• mancata comunicazione della violazione agli interessati ai sensi dell’art. 34, par. 1, GDPR.

Il Garante Privacy polacco era venuto a conoscenza della violazione dalla lettura di un articolo pubblicato online, che raccontava che il corriere di una banca aveva smarrito un pacco contenente documenti da recapitare a 158 interessati.

Tali documenti contenevano numerose informazioni, tra cui nome, cognome, data di nascita, numero di conto bancario, numero di telefono, nonché il numero “PESEL”, ovvero un simbolo numerico di undici cifre che identifica in modo univoco una persona fisica, la cui violazione può determinare il furto, la falsificazione dell’identità o ancora la frode sui prestiti, con rilevanti conseguenze negative per gli interessati. Inoltre, nel pacco smarrito erano presenti anche due polizze assicurative, emesse da compagnie assicurative a cui la banca aveva omesso di effettuare la comunicazione di data breach.

L’istituto di credito aveva giustificato la mancata notifica in ragione del fatto che il pacco smarrito dal corriere era stato ritrovato “intatto” poco dopo e la persona che lo aveva ritrovato lo aveva portato direttamente in questura dichiarando di non aver fotocopiato i documenti presenti all’interno. Ad avviso del Garante, però, la banca non poteva essere certa di quante persone avessero effettivamente avuto accesso al pacco, né vi era prova che la persona che aveva ritrovato il pacco fosse un destinatario “fidato”.

La notevole entità della sanzione è stata determinata tenuto conto di numerose circostanze aggravanti, tra cui l’esistenza di precedenti violazioni del GDPR in capo alla Banca, la scarsa collaborazione, il numero di persone coinvolte nella violazione (ben 158) e il cospicuo numero di dati personali impattati (pur essendo soli dati comuni e non dati appartenenti alle particolari categorie o relativi a condanne penali o reati).