NEWS

Cipro: banca lascia i locali presi in affitto ma dimentica un caveau contenente le pratiche dei clienti

La Hellenic Bank aveva affittato dei locali per una propria filiale di Nicosia, ma quando nel 2015 decideva di trasferirsi dimenticava letteralmente un vecchio caveau dotato di chiusura a chiave che era stato costruito in un muro dell’edificio. Successivamente, dal 2015 al 2019 il negozio era rimasto sfitto, ma quando finalmente i locali erano stati nuovamente affittati dal suo proprietario, i nuovi inquilini scoprivano con sorpresa l’esistenza del caveau abbandonato, e perciò decidevano prontamente di avvertire la banca, ma qundo i funzionari dell'istitituto si recavano sul posto per aprire i locali blindati non vi trovavano all’interno lingotti d'oro o mazzette di banconote, bensì vecchie pratiche e file di clienti ed ex clienti che vi erano stati riposti all'epoca.

A quel punto, i funzionari della banca recuperavano tutto il contenuto che vi era rimasto chiuso per ben cinque anni e si preoccupavano di trasferire tutta la documentazione mettendola al sicuro presso la sede della Banca. Tuttavia, come previsto dal Gdpr la banca provvedeva anche a notificare il “data breach” all'Ufficio del Commissario per la protezione dei dati cipriota.

Oltre al ritardo in relazione all'obbligo della banca di notificare all'autorità di controllo la violazione della sicurezza, che di norma dovrebbe avvenire “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza”, il garante cipriota ravvisava anche una violazione del principio di disponibilità dei fascicoli rimasti bloccati all'interno del caveau nel periodo dal 2015 al 2019.

Tra fattori aggravanti e attenuanti che sono stati valutati nel corso dell’istruttoria in relazione all'incidente di sicurezza, nel mese di marzo 2021 l’Ufficio del Commissario per la protezione dei dati di Cipro decideva infine di infliggere alla Hellenic Bank Ltd una multa di 25.000 euro per le violazioni dei princìpi di sicurezza richiesti dall'articolo 5 del Gdpr, quelle dell'articolo 32 par. 1 b) e c) sulla la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, nonché la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico, oltre alla contestazione della ritardata notifica ai sensi dell’art.33 del Regolamento UE.

Come era fin troppo facile presumere visto il luogo blindato in cui si trovavano ben rinchiusi i documenti, i media di Cipro hanno riferito come la Hellenic Bank abbia comunque tenuto a sottolineare che in quel lungo periodo di tempo nessuna di quelle informazioni riguardanti i clienti della banca che si trovavano nel caveau sono state divulgate a terzi, e che nel frattempo sono state adottate tutte le misure organizzative affinché tali eventi non si ripetano in futuro.

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: urp@federprivacy.org 

Prev Usa: Class action con l'accusa di violazione privacy degli utenti, TikTok paga 92 milioni di dollari
Next Spagna: banche nel mirino dell'autorità per la privacy, multe per 11 milioni di euro nel giro di poche settimane

Il Gdpr per far decollare economia digitale

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy