Privacy e Protezione Dati

Email inviata in chiaro con 400 indirizzi: violazione GDPR della banca?

Utente_monza_1900 · 0 visualizzazioni

Sono titolare di un conto deposito presso la Banca Twist . In data 9.12 la Banca ha inviato una mail "commerciale" relativa ad una nuova applicazione esponendo in chiaro tutti gli indirizzi in copia (circa 400 indirizzi mail) Non sono stati indicati altri dati personali nel contenuto . In data 11.12 la Banca si è scusata minimizzando l'accaduto (questa volta la mail era inviata solo a me) .Secondo il codice della privacy però l’indirizzo di posta elettronica costituisce dato personale, e deve essere trattato secondo le regole dettate dalla normativa sulla privacy . ANCHE SE non sono stati rivelati dati identificativi o dati sensibili la Banca ha commesso un illecito dovuto al fatto che ha inoltrato una email a terzi senza il consenso del titolare. Il riferimento personale per le comunicazioni elettroniche ovvero la e-mail personale costituisce un dato importante ed univoco ( consente la geolocalizzazione e quindi informazioni sui luoghi frequentati e sugli spostamenti ; consente la ricerca tramite motori di ricerca di altre informazioni relative alle persone ; consente qualsiasi tipo di ricerca su elenchi o piattaforme condivise; ecc)

⚖️ Risposta dell'Avvocato AIAvvocatoFlash · basato su 50.000+ pratiche

Risposta diretta

Sì, la banca ha commesso una violazione del GDPR. Esporre in chiaro gli indirizzi email di circa 400 clienti in una comunicazione di massa costituisce un DATA BREACH notificabile e un trattamento illecito di dati personali.

Quadro normativo

L'indirizzo email è dato personale a tutti gli effetti ai sensi dell'articolo 4, paragrafo 1, del REGOLAMENTO UE 2016/679 (GDPR). La banca, in qualità di titolare del trattamento, è soggetta agli obblighi di cui all'articolo 5 GDPR (principi di riservatezza e integrità), all'articolo 32 GDPR (misure di sicurezza adeguate) e all'articolo 33 GDPR (notifica del data breach all'autorità di controllo entro 72 ore dalla scoperta). In Italia l'autorità competente è il GARANTE PER LA PROTEZIONE DEI DATI PERSONALI. Sul piano del risarcimento, l'articolo 82 GDPR riconosce al soggetto interessato il diritto al risarcimento del danno materiale e/o immateriale subito.

Come funziona in pratica

  • La banca avrebbe dovuto notificare il data breach al Garante entro 72 ore dall'evento (9 dicembre). Se non lo ha fatto, ha aggiunto una seconda violazione.
  • Avrebbe inoltre dovuto valutare se comunicare l'incidente agli interessati (articolo 34 GDPR), soprattutto considerando i rischi secondari che lei ha correttamente identificato: ricollegabilità dell'indirizzo a identità reale, geolocalizzazione tramite metadati, ricerche incrociate su piattaforme pubbliche.
  • La mail di scuse del 11 dicembre, pur apprezzabile, non sana la violazione né esonera la banca dalla responsabilità.
  • Lei può presentare un RECLAMO AL GARANTE (gratuito, online su garanteprivacy.it) oppure un RICORSO diretto al Garante stesso, allegando le due email come prova.

    • Cosa conviene fare

    In primo luogo, conservi le email originali con le intestazioni complete (intestazioni tecniche, non solo il testo visibile) come prova documentale. Inoltri un reclamo formale al Garante entro i termini ordinari. Può anche inviare alla banca una diffida scritta chiedendo conferma di aver notificato il data breach e richiedendo risarcimento del danno, anche non patrimoniale (ansia, perdita di controllo sui propri dati). Il danno immateriale da data breach è riconosciuto dalla giurisprudenza europea anche in assenza di danni patrimoniali concreti, purché dimostri un effettivo disagio o preoccupazione. Valuti infine se agire in forma collettiva con altri 400 interessati, il che rafforza significativamente la posizione risarcitoria.

    Questa risposta è generata da intelligenza artificiale e ha scopo puramente informativo. Non costituisce consulenza legale professionale.

    Hai un'altra domanda?

    Hai bisogno di un avvocato?

    Invia il tuo caso — ti assegniamo un avvocato specializzato nella tua zona.

    Hai bisogno di assistenza legale?

    Scrivici, ti mettiamo in contatto con il miglior avvocato nella tua zona in poche ore.

    Minimo 80 caratteri0 / 80
    Avvocati verificati
    50.000+ clienti aiutati

    Un avvocato a tua disposizione ogni volta che ti serve

    Oltre 200 avvocati in tutta Italia pronti a risolvere i tuoi problemi legali ad un costo fisso.

    Stai cercando un Avvocato?

    AvvocatoFlash ha aiutato oltre 50.000 persone come te nel 2026.

    Da oggi con AvvocatoFlash puoi fare video conferenze con gli Avvocati e firmare i tuoi documenti legali senza uscire di casa

    Contattaci per risolvere il tuo problema legale


    Hai bisogno di un Avvocato?

    Oltre 50.000 utenti hanno già provato AvvocatoFlash

    Descrivi il tuo caso