La Data Protection Commission (DPC), il Garante Privacy irlandese, ha riscontrato che la banca ha violato il GDPR in relazione ai dati inviati al Registro centrale del credito. In alcuni casi, dati non corretti sono stati aggiunti al file di un cliente per indicare che si trovavano in “difficoltà finanziarie”.
Quando la Banca d’Irlanda è stata inizialmente contattata dalla DPC per segnalare l’errore, ha dichiarato che soltanto un cliente era stato colpito.
47mila clienti colpiti dal data breach
“Ma alla fine è emerso che circa 47mila dati sono stati colpiti dalla violazione” ha reso noto il Garante irlandese, aggiungendo che ci sono voluti più di 18 mesi prima che la Banca d’Irlanda fornisse il numero delle persone colpite.
In relazione a un caso ad alto rischio in cui 236 persone hanno riportato informazioni inesatte sulla carta di credito, il DPC ha affermato che era “inspiegabile” che la banca abbia aspettato fino a novembre o dicembre 2019 per informare i clienti quando avrebbe potuto farlo nel giugno precedente.
Alla Bank of Ireland è stato ordinato di risolvere i problemi con i suoi sistemi di elaborazione dati ed è stato rimproverato il tempo necessario per informare i clienti.
Il DPC ha inflitto alla banca una sanzione di 463.000 euro, la faccenda potrebbe costarle molto di più.
“Indicatore di un problema più ampio”
Il direttore di Data Compliance Europe, Simon McGarr, ha affermato che i risultati del DPC potrebbero essere un indicatore precoce di un problema più ampio delle aziende che gestiscono male i dati dei clienti e ha suggerito che la Bank of Ireland potrebbe potenzialmente affrontare un’azione legale da parte dei clienti.
Il caso “va al cuore del rapporto tra una banca e i suoi clienti”, ha affermato McGarr.
“In termini di precedenza irlandese, la multa di 463.000 euro è una cifra sostanziale”, ha affermato. “Non è nemmeno l’ultima parola per la banca. Se le persone sono state colpite dalla violazione dei dati, hanno diritto a un’azione civile contro la banca.
“Se ha avuto un effetto grave, un ricorrente potrebbe mostrare una perdita finanziaria da questa violazione. Ma quando dico interessato, ciò potrebbe includere solo la divulgazione impropria di questi dati, non devono dimostrare un’effettiva perdita finanziaria. Il GDPR consente il recupero della perdita non finanziaria”.
Segno di problemi più profondi?
Il portavoce della finanza dello Sinn Féin, Pearse Doherty, ha affermato di temere che questo caso possa essere un “segno di problemi più profondi all’interno del settore bancario e di come gestisce i dati dei clienti”.
In una dichiarazione, la Bank of Ireland ha affermato di “riconoscere e scusarsi sinceramente” per le violazioni identificate dal DPC e ha affermato di aver adottato misure per affrontare le carenze identificate.
“La banca ha informato tutti i clienti interessati”, ha affermato. “Ha rettificato le informazioni inesatte riportate al RCC in tutti i casi tranne 20 che verranno corretti a breve.
“La banca si è impegnata in modo completo e proattivo con la commissione durante la sua indagine e continuerà a farlo poiché attuerà queste misure aggiuntive il più rapidamente possibile”.
