Intesa Sanpaolo multado em 31,8 milhões: colaborador acedeu a dados de “indivíduos com cargos públicos proeminentes”

A Autoridade de Proteção de Dados de Itália (APDI) aplicou uma coima de 31,8 milhões de euros ao maior banco no país, o Intesa Sanpaolo, por “graves deficiências” na segurança de dados pessoais, “devido a medidas técnicas e organizacionais desadequadas adotadas”. Segundo reporta o supervisor, os dados de 3573 clientes foram consultados indevidamente.

A APDI adianta que o acesso ilícito incluiu dados de clientes de “elevado risco”, “incluindo indivíduos com cargos públicos proeminentes, para quem controlos reforçados deviam ser necessários”.

A investigação foi iniciada após um reporte do próprio banco, em julho de 2024. Este processo concluiu que um colaborador da instituição acedeu aos dados dos referidos clientes, “sem justificação”, num total de 6600 consultas dos mesmos entre fevereiro de 2022 e abril de 2024. “Estes acessos não autorizados não foram detetados pelos sistemas de controlo interno, o que põe em evidência deficiências significativas nos mecanismos de monitorização e prevenção”, critica a autoridade em comunicado.

Na aplicação da coima, esclarece a APDI, foi tida em conta a severidade da situação e a duração das transgressões, bem como o “elevado número de clientes envolvidos” e as medidas de correção adotadas pela instituição a seguir aos incidentes, “dirigidas a fortalecer os sistemas de controlos internos e as medidas de segurança”.

No decorrer da investigação, a APDI encontrou transgressões nos princípios de integridade e confidencialidade de dados pessoais, bem como o princípio da responsabilidade. “O modelo operacional usado, que permitia aos operadores, consultar a base de clientes completa de forma circular, não era devidamente contrabalançado por controlos destinados a prevenir e identificar o acesso não autorizado”, afirma.

A par disto, a APDI considera que “outras questões críticas emergiram na gestão” do processo. “A notificação foi incompleta e tardia quando comparada com os prazos definidos por lei, bem como a comunicação sobre o assunto dos dados em si”, acrescenta, argumentando que estas práticas comprometeram a capacidade da autoridade de intervir prontamente e proteger os direitos e liberdades dos envolvidos.