Il Garante privacy ha sanzionato per 80mila euro Poste Vita, la società di investimenti e assicurazioni di Poste Italiane per non aver adottato misure tecniche e organizzative adeguate a garantire la sicurezza dei dati di una cliente. Tardiva anche la comunicazione del data breach all’Autorità, che doveva essere notificato ai sensi del Regolamento europeo, entro 72 ore dall’appresa conoscenza della violazione.
Il procedimento ha preso avvio dal reclamo di una cliente di Poste Vita che lamentava la comunicazione illecita di dati personali a un soggetto terzo non autorizzato che li aveva poi utilizzati nell’ambito di un procedimento giudiziario. I dati si riferivano a tre polizze vita di cui la reclamante era titolare.
Nel corso dell’istruttoria, Il Garante ha accertato che il data breach era avvenuto a causa di una serie di errori commessi dagli operatori della compagnia, che avevano risposto ad alcune richieste di informazioni riguardanti le polizze dell’interessata senza aver preventivamente verificato l’effettiva corrispondenza tra l’indirizzo di posta elettronica da cui pervenivano e i recapiti rilasciati dalla cliente. Le richieste arrivavano infatti da due e-mail, che seppur recavano il nome e cognome dell’interessata, la quale, tra l’altro non aveva mai fornito alcun indirizzo di posta alla società, erano in realtà riconducibili a terzi.
Per tali ragioni il Garante, si è limitato a comminare la sanzione pecuniaria, avendo preso atto, nel corso del procedimento, di quanto dichiarato dalla società in ordine all’avvenuta implementazione delle procedure aziendali, che prevedono – a fronte di richieste informative da parte della clientela – una rigorosa verifica dell’identità del richiedente.
