La Hellenic Bank aveva affittato dei locali per una propria filiale di Nicosia, ma quando nel 2015 decideva di trasferirsi dimenticava letteralmente un vecchio caveau dotato di chiusura a chiave che era stato costruito in un muro dell’edificio. Successivamente, dal 2015 al 2019 il negozio era rimasto sfitto, ma quando finalmente i locali erano stati nuovamente affittati dal suo proprietario, i nuovi inquilini scoprivano con sorpresa l’esistenza del caveau abbandonato, e perciò decidevano prontamente di avvertire la banca, ma qundo i funzionari dell’istitituto si recavano sul posto per aprire i locali blindati non vi trovavano all’interno lingotti d’oro o mazzette di banconote, bensì vecchie pratiche e file di clienti ed ex clienti che vi erano stati riposti all’epoca.
A quel punto, i funzionari della banca recuperavano tutto il contenuto che vi era rimasto chiuso per ben cinque anni e si preoccupavano di trasferire tutta la documentazione mettendola al sicuro presso la sede della Banca. Tuttavia, come previsto dal Gdpr la banca provvedeva anche a notificare il “data breach” all’Ufficio del Commissario per la protezione dei dati cipriota.
Oltre al ritardo in relazione all’obbligo della banca di notificare all’autorità di controllo la violazione della sicurezza, che di norma dovrebbe avvenire “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza”, il garante cipriota ravvisava anche una violazione del principio di disponibilità dei fascicoli rimasti bloccati all’interno del caveau nel periodo dal 2015 al 2019.
Tra fattori aggravanti e attenuanti che sono stati valutati nel corso dell’istruttoria in relazione all’incidente di sicurezza, nel mese di marzo 2021 l’Ufficio del Commissario per la protezione dei dati di Cipro decideva infine di infliggere alla Hellenic Bank Ltd una multa di 25.000 euro per le violazioni dei princìpi di sicurezza richiesti dall’articolo 5 del Gdpr, quelle dell’articolo 32 par. 1 b) e c) sulla la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, nonché la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico, oltre alla contestazione della ritardata notifica ai sensi dell’art.33 del Regolamento UE.
Come era fin troppo facile presumere visto il luogo blindato in cui si trovavano ben rinchiusi i documenti, i media di Cipro hanno riferito come la Hellenic Bank abbia comunque tenuto a sottolineare che in quel lungo periodo di tempo nessuna di quelle informazioni riguardanti i clienti della banca che si trovavano nel caveau sono state divulgate a terzi, e che nel frattempo sono state adottate tutte le misure organizzative affinché tali eventi non si ripetano in futuro.
Fonte: Federprivacy