Circa 7mila accessi su 3.500 soggetti, in 679 filiali per oltre due anni. Sono questi i numeri del caso sui conti spiati da un dipendente di Intesa Sanpaolo, che vede coinvolte le sorelle Meloni e molti altri nomi noti.
Individuato il responsabile, Vincenzo Coviello, resta da capire se ci fossero un movente e/o un mandante, ma anche se e cosa non ha funzionato nei sistemi di controllo del gruppo bancario e nella gestione della comunicazione di quanto avvenuto. È certo, invece, che il Gdpr, il Regolamento generale sulla protezione dei dati, prevede indicazioni su come e quando riferire di violazioni dei dati personali all’autorità di controllo e al diretto interessato.
COSA DICE IL GDPR SU VIOLAZIONE DATI E NOTIFICA ALL’AUTORITÀ DI CONTROLLO
In caso di violazione dei dati personali, il Gdpr lascia che sia chi li custodisce a valutare l’azione da intraprendere e lo stabilisce con l’articolo 33 – Notifica di una violazione dei dati personali all’autorità di controllo:
“In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo”.
COSA DICE IL GDPR SU VIOLAZIONE DATI E COMUNICAZIONE ALL’INTERESSATO
Se, invece, il rischio è elevato, deve essere avvertito anche l’interessato, come previsto dall’articolo 34 della direttiva europea che definisce la “Comunicazione di una violazione dei dati personali all’interessato”:
“Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.
VERSIONI DISCORDANTI
Ma quindi Intesa Sanpaolo, una volta scoperte le malefatte del dipendente, ha informato il Garante e gli interessati o ha ritenuto che non ci fosse alcun rischio e quindi non ha preso alcun provvedimento?
Secondo quanto ricostruito da Repubblica, alcune fonti della banca affermano che Intesa Sanpaolo “ha subito notificato quanto scoperto – come prevede il Gdpr – al Garante della Privacy” e che poi la notizia è stata comunicata anche a un cliente spiato, il quale “ha presentato un esposto alla magistratura”. Infine, “qualche settimana dopo anche la banca si è rivolta alla procura”.
“Una tesi – scrive il quotidiano – che differisce da altre ricostruzioni, secondo cui sarebbe stato invece il cliente ad allertare la banca”. La reazione della premier Giorgia Meloni, ad esempio, sembrerebbe confermare che la banca non la avesse informata.
COME FUNZIONANO I SISTEMI DI CONTROLLO
Un altro aspetto, il cui funzionamento in relazione al caso resta da chiarire, riguarda i sistemi di controllo. Stando alle fonti di Intesa Sanpaolo citate da Repubblica, la banca avrebbe informato il Garante Privacy dopo che questi hanno individuato quanto stava accadendo.
Ma come funzionano? E quando si attivano? La Stampa spiega che: “[…] il dipendente ‘autorizzato’ gestisce i dati della clientela e i sistemi di controllo automatizzati monitorano i comportamenti e segnalano quelli anomali. Ad esempio, se una stessa persona viene cercata troppe volte. Insomma, se le consultazioni assumono un particolare rilievo quantitativo o qualitativo. A quel punto scatta l’allarme. […] Gli analisti informatici del mega centro di controllo che monitora i flussi telematici di tutto l’istituto bancario da Moncalieri, comune alle porte di Torino, riscontrano le anomalie. E la banca avvia un’indagine interna. A seguire il procedimento disciplinare, che è una procedura lunga e scrupolosa”.
