Lavorava in modo fin troppo “smart’ un impiegato della Banca Comercială Română (BCR) che per cercare di facilitate i clienti nella gestione delle pratiche usava il proprio telefonino personale per farsi inviare tramite WhatsApp le copie di documenti e carte d’identità, anche di minorenni e dei loro rappresentanti legali, contravvenendo però così alle procedure di lavoro interne, motivo per cui l’istituto è stato adesso sanzionato per violazione della normativa sulla privacy.

Naturalmente, l’uso di WhatsApp in azienda per la trasmissione di documentazione non è di per sé incompatibile con il Gdpr, e la decisione di adottarlo o meno spetta al titolare del trattamento, che deve valutarne i rischi e le varie implicazioni sulla privacy, specialmente in considerazione degli eventuali trattamenti di informazioni personali relativi a minori, con un occhio particolarmente attento sulla trasparenza e le informazioni da fornire agli interessati, disciplinandone inoltre l’utilizzo con specifiche misure di sicurezza organizzative e procedure a cui si devono poi attenere i dipendenti autorizzati al trattamento dei dati della clientela.

Nel caso della banca rumena, a far aprire un’indagine all’Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personalper (ANSPDCP) era stato un reclamo di un cliente a cui evidentemente non era andato a genio il fatto di scambiarsi la documentazione con il proprio istituto utilizzando la nota applicazione di messaggistica di proprietà di Facebook.

Fatto sta che, dalle verifiche effettuate dall’autorità per la protezione dati rumena presieduta da Ancuța Gianina, è emerso che il dipendente in questione raccoglieva effettivamente atti e copie di documenti di identità dei clienti tramite WhatsApp facendoseli inviare sul suo cellulare personale per poi girarli al proprio ufficio, violando così le policy interne della banca, ed anche diverse disposizioni del Gdpr relative alla sicurezza del trattamento.

Il Garante per la privacy rumeno contestava infatti alla banca il fatto di non aver implementato adeguate misure tecniche e organizzative per assicurare un livello di sicurezza adeguato al rischio del trattamento, e per garantire che i propri dipendenti, in qualità di soggetti autorizzati ad avere accesso ai dati che agiscono sotto l’autorità dell’istituto bancario, li elaborassero solo su sua richiesta e in conformità alle istruzioni impartite.

Al completamento dell’istruttoria, terminata lo scorso 14 aprile, l’Autorità di controllo ha quindi riscontrato la violazione delle disposizioni in materia di sicurezza del trattamento, rispettivamente art. 32 par.4 in combinato disposto con l’art. 32 paragrafi 1 e 2 del Regolamento UE 2016/679 sulla protezione dei dati, e per questo ha deciso di multare la Banca Comercială Română S.A. con una sanzione amministrativa di 24.163,50 lei, corrispettivo in valuta rumena dell’importo di 5.000 euro.