A differenza di quanto valutato dalla Banca, l’Autorità ritiene infatti che la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone coinvolte, tenuto conto della natura della violazione, delle categorie dei dati trattati, della gravità e delle conseguenze che ne potrebbero derivare (la divulgazione di notizie riguardanti lo stato patrimoniale, il danno reputazionale).
Il provvedimento si è reso necessario in quanto nelle prime comunicazioni inviate dalla Banca al Garante non era stata messa in evidenza l’ampiezza della violazione, come invece è poi risultata sia dagli articoli di stampa sia dai riscontri dalla stessa forniti.
Il Garante, che si riserva di valutare l’adeguatezza delle misure di sicurezza adottate nell’ambito di un’istruttoria tuttora in corso, ha inoltre ingiunto alla Banca di trasmettere all’Autorità, entro trenta giorni, un riscontro documentato in modo appropriato sulle iniziative intraprese per dare piena attuazione a quanto prescritto.
