Altra sanzione GDPR. Questa volta a irrogarla è l’Autorità Garante per la protezione dei dati polacca, l’UODO, per mancata notifica di un data breach da parte della Banca Santander Polska. L’Autorità ha appreso della violazione dei dati personali che aveva colpito l’istituto di credito, dai media.
In pratica, dei documenti bancari relativi a clienti e quindi contenenti dati personali e contenuti in un pacco trasportato da un corriere e nel mentre rubato, sono finiti in mani non autorizzate. Di qui, il data breach.
Vediamo meglio imparando una lezione.
Indice degli argomenti
Pacco rubato al corriere è data breach: il caso
In data 23 agosto 2022, il Presidente del Garante polacco per la protezione dei dati personali ha appreso dai mass media di una violazione di dati personali che ha visto coinvolti alcuni clienti della Santander Bank Polska con sede a Varsavia e, nella fattispecie, per aver reso pubblici dei documenti bancari contenuti in un pacco abbandonato in un complesso residenziale, dopo che era stato precedentemente rubato durante il trasporto da parte di un corriere.
Il caso sembra anacronistico in un’epoca in cui la dematerializzazione e la digitalizzazione regna sovrana; eppure, in un’ipotesi del genere deve ritenersi pacifica una violazione dei dati ex art. 33 del GDPR.
Dal provvedimento del 2 aprile 2024 apprendiamo che tale pacco conteneva dati personali di clienti (nomi, cognomi, date di nascita, numeri di conto bancario, indirizzo e dettagli di contatto, numeri di identificazione nazionale, numeri PESEL).
Ciononostante, la banca riteneva l’occorso un mero incidente di sicurezza e quindi non reputava notificare ex artt. 33 e 34 l’evento, con quanto per conseguenza.
Ma andiamo per gradi.
Analizziamo il provvedimento
Il Garante polacco ha scritto nel provvedimento che la Banca Santander, durante l’istruttoria, ha riferito di non aver ritenuto l’evento come un data breach in quanto il pacco era stato ritrovato poco dopo il furto dal corriere, con un asserito accertamento da parte della banca che non mancassero dei documenti.
Peraltro, il pacco sarebbe stato trovato da una persona “ricercatore onesto” che lo avrebbe portato subito alla stazione di polizia.
Ma l’Autorità non persuasa della difesa assunta dall’istituto di credito ha sanzionato per circa 300mila euro la Banca adducendo le motivazioni che seguono più nel dettaglio, in sintesi.
Le violazioni contestate e gli effetti
Il Garante polacco ha contestato alla banca le seguenti violazioni:
- mancata notifica ex art. 33 del GDPR, al Presidente del Garante per la protezione dei dati personali;
- omessa comunicazione agli interessati ex art. 34 GDPR.
Per l’effetto, ha inflitto alla stessa una sanzione amministrativa dell’importo di “PLN 1.440.549 (un milione quattrocento quarantamila cinquecento quarantanove zloty)” pari cioè a circa 300mila euro, con l’onere di notificare entro 3 giorni dalla data di pronuncia della decisione in parola, agli interessati una comunicazione contenente:
- “il nome e gli estremi di contatto del responsabile della protezione dei dati o di altro punto di contatto presso il quale è possibile ottenere maggiori informazioni;
- una descrizione delle possibili conseguenze di una violazione della protezione dei dati personali;
- nonché delle misure adottate o proposte dal titolare del trattamento per contrastare la violazione, comprese le misure per minimizzarne i possibili effetti negativi”,
come si ha modo di leggere nel provvedimento in disamina.
Le giustificazioni della banca
La banca si giustificava dicendo di aver accertato che i documenti erano stati rinvenuti abbandonati, ma non scartabellati; che la presunta violazione della protezione dei dati personali in questione aveva interessato meno di 160 persone; e che soprattutto il pacco era stato ritrovato da una persona identificata poco dopo lo smarrimento/furto, ritenuta “destinatario…fidato/ricercatore onesto”, poiché lo aveva recapitato subito in questura, senza “copiare” alcun dato. Ma, con quali prove, non ci è dato sapere.
Di qui, la scelta della banca di non notificare alcunché.
La banca si difendeva poi adducendo le azioni intraprese per minimizzare il rischio.
Ancora, per evitare analoghi episodi in futuro, la Banca pare che abbia istituito un gruppo di lavoro con il precipuo compito di analizzare l’evento e sviluppare meccanismi contrari.
Così la formulazione di una procedura di invio della documentazione cartacea: dalla preparazione della spedizione/modalità di imballaggio, al controllo dello standard su tre livelli: i) controllo da parte del corriere; ii) controllo effettuato da; iii) controllo, dimostrando di implementare le misure di sicurezza organizzative.
Ancora, la banca si è difesa dicendo che i dati non erano appartenenti a categorie particolari ex art. 9 e 10 del GDPR.
Tuttavia, le giustificazioni della banca non sono affatto bastate a persuadere l’Autorità Garante polacca, la quale ha ravvisato pacificamente la violazione degli artt. 33 e 34 GDPR e di conseguenza sanzionato la banca di un importo economicamente rilevante.
Una lezione per tutti
Chiediamoci, dunque, cosa da questo provvedimento possiamo imparare, anche noi italiani.
Anzitutto, che non è remota l’ipotesi di commettere, ancora oggi, un data breach a causa del furto di un pacco dal contenuto documentale. Al riguardo, abbiamo potuto apprezzare come il Garante polacco abbia bene spiegato l’importanza della notifica di un data breach (ex art. 33), affermando che il criterio dirimente sia una valutazione sulle conseguenze negative per gli individui/interessati/clienti.
In secondo luogo, la vicenda in questione ci insegna come sia assolutamente necessario adottare tutte le opportune misure di sicurezza e che non si possa sottovalutare nulla.
Sono altresì importanti le misure correttive al fine di porre prontamente rimedio alla violazione.
Il tutto, del resto, si riflette non di meno sull’importanza di valutare se, dopo una violazione della protezione dei dati personali, il titolare del trattamento sia ancora in grado di assicurare un trattamento corretto/lecito e quindi di garantirne la sicurezza del dato personale.
Ancora, la valutazione se notificare o meno, come lo dice a chiare lettere l’Autorità polacca, deve “essere effettuata dal punto di vista della persona lesa dalla violazione”; e vi aggiunge che “la comunicazione accidentale di dati personali anche ad una sola persona identificata può comportare un aumento dell’entità della violazione e quindi del rischio di violazione dei diritti e delle libertà dell’interessato”.
Né la valutazione (se notificare o meno) può essere influenzata dal fatto che, come in questo il pacco sia stato rinvenuto da una persona onesta che si è prodigata subito a portare il pacco trovato abbandonato alla Polizia.
In conclusione, ne discende dunque che se la Banca ha valutato, rectius sottovalutato, l’occorso qui descritto abbia a palesemente errato, considerando un rischio basso e quindi trascurabile un rischio invece elevato in termini di diritti e delle libertà delle persone coinvolte.
A valle, quindi, è bene condurre una valutazione dei rischi adeguata e consapevole da applicarsi anche a circostanze come queste, apparentemente anacronistiche come la spedizione dei pacchi contenenti documenti/dati personali, in un’era digitale come questa, ma che di fatto possono ancora verificarsi.
