O Intesa Sanpaolo volta ao centro das atenções por uma nova sanção ligada à gestão de dados pessoais. Após uma primeira multa recebida nas últimas semanas, o instituto foi mais uma vez atingido pela Fiadora de Proteção de Dados Pessoais com multa de 31,8 milhões de euros.
A medida surge na sequência de uma investigação que destacou questões críticas significativas na segurança e gerenciamento das informações do clienteparcialmente ligado a uma violação de dados notificada em 2024.
Esta é a segunda sanção num mês, depois da de 17,6 milhões de euros relacionadas com a transferência de dados para Isybank.
Deficiências nos sistemas de segurança
De acordo com o comunicado do Fiador, a investigação apurou que um funcionário realizou acesso não autorizado aos dados bancários de 3.573 clientesnum total de mais 6.600 consultas entre fevereiro de 2022 e abril de 2024.
Estes acessos, considerados injustificados, eles não foram interceptados por sistemas de controle internoevidenciando uma fragilidade nas medidas de monitorização adotadas.
Os perfis envolvidos também incluem clientes considerados de alto riscoincluindo indivíduos com funções públicas relevantes, para os quais são geralmente necessários níveis de proteção mais elevados.
A autoridade concluiu, portanto, a violação dos princípios fundamentais do processamento de dados, incluindo integridade, confidencialidade e responsabilidadesublinhando a inadequação global das medidas técnicas e organizacionais adotadas.
Gerenciamento de violação de dados
Um outro elemento que emergiu diz respeito à gestão de violação de dados relatada em 2024. Segundo o Fiador, o acidente foi comunicado de forma incompleto e atrasado no que diz respeito às obrigações estabelecidas pela legislação europeia.
Em particular, a notificação não teria respeitado os prazos estabelecidos e a comunicação às partes interessadas teria ocorrido somente após intervenção direta da autoridade.
A legislação de referência, contida no Regulamento Geral de Proteção de Dados (RGPD)prevê que, em caso de violações potencialmente arriscadas para os usuários, a comunicação deverá ocorrer sem demora injustificada.
No caso concreto, o Fiador considerou que a gestão do evento não cumpriu estas disposições, levando à impugnação formal da conduta.
Duas sanções em poucas semanas
A multa de 31,8 milhões de euros soma-se ao já infligido nas semanas anteriores, levando a um total de quase 50 milhões de euros de sanções num período de tempo muito curto.
A primeira medida dizia respeito à transferência de dados de aproximadamente 2,4 milhões de clientes à subsidiária Isybank, realizada sem o consentimento adequado, conforme constatado pela autoridade.
Com esta nova decisão, o Fiador reiterou a necessidade de os operadores financeiros adoptarem sistemas de segurança adequados e procedimentos rigorosos na gestão de informações pessoais.
