El Garante de Privacidad impuso una multa de 31,8 millones de euros a Intesa Sanpaolo SpA “debido a graves deficiencias en la seguridad de los datos personales, debido a la insuficiencia de las medidas técnicas y organizativas adoptadas”. La investigación de la Autoridad, iniciada tras la filtración de datos denunciada por el banco en julio de 2024, constató – explica una nota – que “un empleado tuvo acceso, sin motivo justificado, a la información bancaria de 3.573 clientes, realizando más de 6.600 consultas entre el 21 de febrero de 2022 y el 24 de abril de 2024”. Y estos “accesos indebidos no fueron detectados por los sistemas de control interno”.
Este acceso indebido, explica el Garante, “no fue detectado por los sistemas de control interno, lo que pone de relieve importantes problemas críticos en los mecanismos de seguimiento y prevención”. “El acceso ilícito – continúa la nota – también se refería a datos relativos a clientes de ‘alto riesgo’, incluidos sujetos con funciones de importancia pública, para quienes habrían sido necesarias medidas de control reforzadas”. La Autoridad “observó, en particular, la violación de los principios de integridad y confidencialidad de los datos personales, así como del principio de responsabilidad, señalando la insuficiencia general de las medidas adoptadas. El modelo operativo utilizado, que permitió a los operadores interrogar a toda la base de clientes en total circularidad, de hecho no estaba suficientemente equilibrado por controles adecuados para prevenir e identificar el acceso injustificado”. Además, “surgieron otros problemas críticos en la gestión de la violación de datos. La notificación fue incompleta y tardía en comparación con los plazos establecidos por la ley, al igual que la comunicación a los interesados, que sólo se produjo tras una disposición previa del Garante del 2 de noviembre de 2024. Tal comportamiento comprometió la posibilidad de una intervención oportuna de la Autoridad para proteger los derechos y libertades de los interesados”. “A la luz de las violaciones observadas, el Garante – concluye la nota – consideró ilegal el comportamiento llevado a cabo por Intesa Sanpaolo. Para determinar el monto de la multa, la Autoridad tuvo en cuenta la gravedad y la duración de las violaciones, el elevado número de clientes involucrados, así como las medidas correctivas adoptadas por la institución después de los hechos, destinadas a fortalecer los sistemas de control interno y las medidas de seguridad.
Reproducción reservada © Copyright ANSA
About The Author
