Come è noto, Unicredit S.p.A. in qualità di Titolare del trattamento, è stato recentemente sanzionato dal Garante per la protezione dei dati personali, a seguito di un data breach subito nel 2018; si trattò di un attacco dall’esterno, con conseguenze sui dati personali (tra questi nome, cognome, codice fiscale etc.) di clienti ed ex-clienti.
L’Autorità Garante per la protezione dei dati personali ha svolto una complessa attività istruttoria, durata diversi anni e – riferisce nel provvedimento – ha soppesato accuratamente le responsabilità dei diversi soggetti coinvolti con il Titolare del trattamento. La valutazione dell’Autorità ha dato luogo a due distinti provvedimenti, uno in capo al Titolare (reperibile sul sito dell’Autorità come doc. web n. 9991020) ed un altro in capo al Responsabile del trattamento (doc. web n. 9991064), la società NTT Data (di seguito anche “la Società), nominata ex art. 28 del GDPR.
A NTT Data è stata comminata una sanzione amministrativa pecuniaria pari ad euro 800.000,00 per non essersi conformata alla normativa in materia in qualità di Responsabile del trattamento e non aver rispettato gli obblighi contrattuali che le vietavano di sub affidare a soggetti terzi attività a lei riservate, quali i vulnerability assessment e penetration testing. Inoltre, NTT Data è stata riconosciuta responsabile di aver trasmesso tardivamente al Titolare del trattamento le vulnerabilità rilevate; un ritardo che, ad avviso del Garante, se non vi fosse stato avrebbe permesso alla banca di adottare quanto necessario ad evitare il brach.
Come sempre, il Garante privacy nell’irrogare una sanzione che sia oltre che effettiva anche proporzionata, ha tenuto conto anche degli elementi positivi riscontrati in capo al Responsabile. Questo costante rilievo effettuato dall’Autorità rende evidente che se NTT Data avesse posto in essere con la dovuta attenzione tutte le disposizioni previste dalla normativa inerente la protezione dei dati avrebbe potutoti ridurre ulteriormente la sanzione che l’ha colpita, se non addirittura riuescire ad evitarla.
Preme sottolineare come sia importante adottare modelli organizzativi e processi operativi interni volti ad assicurare l’ottemperanza alle clausole contrattuali e/o alle nomine di responsabile del trattamento; ancora oggi frequentemente trascurate o relegate ad una veloce lettura, possono essere essenziali non solo per la definizione di responsabilità di tipo contrattuale ed extra contrattuale, ma anche nell’individuazione e quantificazione di violazione delle disposizioni della normativa a protezione dei dati personali con conseguenze molto rilevanti in termini di sanzioni amministrative pecuniarie.