L’Autorità nazionale di vigilanza della Romania ha multato per 130.000 euro Unicredit Bank in base al GDPR. L’ente infatti ha rilevato la violazione dell’articolo 25, dell’articolo 5 e del considerando 78 del regolamento europeo riguardo alla tutela delle persone fisiche relativamente alla libera circolazione dei dati. Una sanzione ritenuta corretta dagli esperti: “In questa fase bisogna dare segnali evidenti”, commenta Francesco Pizzetti, docente di Diritto costituzionale ed ex Garante della privacy.
Indice degli argomenti
Le accuse a Unicredit
Secondo le accuse, Unicredit non avrebbe applicato in modo efficace le misure tecniche e organizzative necessarie per garantire un’ottimale protezione dei dati per preservare i diritti degli interessati. Sembra che l’autorità nazionale di controllo a novembre 2018 durante una verifica avesse rilevato che i dati di chi effettuava pagamenti con transazioni online venivano divulgati.
La situazione ha portato a una violazione anche dell’articolo 5 del GDPR in quanto l’operatore non curando adeguatamente la minimizzazione dei dati: si dovevano trattare i dati limitatamente in relazione agli scopi per cui erano stati inizialmente trattati. Così, Unicredit è stata multata. In valuta locale romena la somma è 613.912 lei, pari a circa 130.000 euro.
Il precedente italiano
A gennaio a Unicredit si era verificato un data breach che aveva portato alla perdita di dati di 731mila correntisti: “Il Garante della privacy non ha comminato nessuna sanzione in quell’occasione, ma è intervenuto dicendo che Unicredit doveva avvisare gli interessati perché non l’aveva fatto – ha spiegato Francesco Pizzetti -. Il ragionamento esposto a margine per giustificare la situazione era che Unicredit aveva posto rimedio alla data breach. Una sanzione sarebbe stata a mio avviso opportuna, non per l’ammontare economico della somma, ma per dare un’indicazione precisa sulla necessità di adempiere al GDPR”.
Pizzetti precisa: “La mia tesi è che in una fase come questa sia necessario dare segnali evidenti che spingano la società a rispettare il GDPR. Ormai la CNIL, autorità tedesca, danese, romena, hanno sanzionato, lo stanno facendo in tutta Europa”.
