Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Il provvedimento

GDPR, maxi sanzione a Unicredit dall’autorità rumena

Violazione di due articoli e un considerando del GDPR: l’autorità di controllo della Romania ha sanzionato Unicredit bank per circa 130.000 euro, per non aver garantito un’adeguata protezione ai dati delle persone fisiche trattati

05 Lug 2019
P

Nicoletta Pisanu


L’Autorità nazionale di vigilanza della Romania ha multato per 130.000 euro Unicredit Bank in base al GDPR. L’ente infatti ha rilevato la violazione dell’articolo 25, dell’articolo 5 e del considerando 78 del regolamento europeo riguardo alla tutela delle persone fisiche relativamente alla libera circolazione dei dati. Una sanzione ritenuta corretta dagli esperti: “In questa fase bisogna dare segnali evidenti”, commenta Francesco Pizzetti, docente di Diritto costituzionale ed ex Garante della privacy.

Le accuse a Unicredit

Secondo le accuse, Unicredit non avrebbe applicato in modo efficace le misure tecniche e organizzative necessarie per garantire un’ottimale protezione dei dati per preservare i diritti degli interessati. Sembra che l’autorità nazionale di controllo a novembre 2018 durante una verifica avesse rilevato che i dati di chi effettuava pagamenti con transazioni online venivano divulgati.

La situazione ha portato a una violazione anche dell’articolo 5 del GDPR in quanto l’operatore non curando adeguatamente la minimizzazione dei dati: si dovevano trattare i dati limitatamente in relazione agli scopi per cui erano stati inizialmente trattati. Così, Unicredit è stata multata. In valuta locale romena la somma è 613.912 lei, pari a circa 130.000 euro.

Il precedente italiano

A gennaio a Unicredit si era verificato un data breach che aveva portato alla perdita di dati di 731mila correntisti: “Il Garante della privacy non ha comminato nessuna sanzione in quell’occasione, ma è intervenuto dicendo che Unicredit doveva avvisare gli interessati perché non l’aveva fatto – ha spiegato Francesco Pizzetti -. Il ragionamento esposto a margine per giustificare la situazione era che Unicredit aveva posto rimedio alla data breach. Una sanzione sarebbe stata a mio avviso opportuna, non per l’ammontare economico della somma, ma per dare un’indicazione precisa sulla necessità di adempiere al GDPR”.

Pizzetti precisa: “La mia tesi è che in una fase come questa sia necessario dare segnali evidenti che spingano la società a rispettare il GDPR. Ormai la CNIL, autorità tedesca, danese, romena, hanno sanzionato, lo stanno facendo in tutta Europa”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5