Nuove sanzioni per Unicredit, stavolta dall’Autorità di controllo della Romania

Avv. Vincenzo Colarocco

L’Autorità di controllo della Romania ha sanzionato Unicredit Bank con una multa pari a circa 130.000 euro, a seguito dell’accertata violazione da parte dell’istituto bancario di alcune disposizioni del GDPR.

Secondo le attività ispettive condotte da questo Garante, Unicredit non avrebbe applicato in modo efficace le misure tecniche e organizzative idonee a garantire la protezione dei dati personali e dunque la tutela dei diritti degli interessati, nella misura in cui, a fronte di una verifica effettuata a novembre 2018, non sarebbe stato rispettato il principio di minimizzazione dei dati che prescrive il loro trattamento limitatamente agli scopi per cui sono stati inizialmente trattati, in questo modo esponendo i dati dei clienti a facile divulgazione.

Di conseguenza, l’attività attuata da Unicredit si è posta in violazione dell’articolo 25, dell’articolo 5 e del considerando 78 del Regolamento.

Ma non è tutto. A tale sanzione ne è seguita una seconda: a quanto pare, i dati personali dei clienti che si trovavano in formato analogico presso la società sono stati oggetto di violazione ad opera di terzi, in particolare sono stati fotografati da persone non autorizzate ad averne accesso e successivamente diffusi sulla rete, con ogni conseguente danno per gli interessati coinvolti.

La circostanza dell’accesso non autorizzato è stata rilevata dall’Autorità rumena a seguito dell’istruttoria apertasi post notifica di data breach dell’ente bancario.

A fronte di una violazione accertata in ordine a 46 interessati, la sanzione comminata è stata pari a 15.000 euro.

Unicredit è già da tempo sotto la lente d’ingrandimento delle autorità di controllo: già a gennaio scorso, si è verificato un data breach che ha portato alla perdita di dati di 731mila correntisti. In quell’occasione, tuttavia, il Garante italiano, chiamato a pronunciarsi a seguito dell’intervenuta notifica, si è astenuto dall’irrogazione di sanzioni, limitandosi ad intimare ad Unicredit di provvedere contestualmente con la notifica della violazione anche agli interessati.