Un video girato dai dipendenti di una filiale di Banca Intesa per un concorso interno finisce online. Tra le tante domande sul caso una in particolare: come ci è finito quel video su Facebook?
Ormai la storia non fa più notizia: due giorni fa sono finiti online un paio di video girati dai dipendenti di due filiali di Intesa Sanpaolo, destinati invece a un concorso aziendale interno.
Non entreremo nel merito cinematografico del video.
Non parleremo nemmeno del fenomeno dell’aziendalismo che forse è un po’ sfuggito alle risorse umane di Intesa (ci ha già pensato il Post).
Non ci addentreremo nemmeno nel campo della gogna pubblica verso la direttrice di banca, di cyberbullismo abbiamo già parlato qui.
Parleremo invece di privacy e di protezione dati.
Ci siamo chiesti infatti come sia possibile che, a pochi mesi dall’attuazione del GDPR, un’azienda come Intesa, che è una banca, quindi è un ente a cui milioni di persone affidano i propri risparmi, ritenendoli al sicuro nei loro sistemi, non sia in grado di proteggere i propri dipendenti da un leak di questo livello.
Ricostruendo la storia, pare che un dipendente abbia sottratto il materiale video destinato a un concorso interno, e poi lo abbia condiviso su Whatsapp con degli amici. Da qui alla viralità il passo è breve. Un colpevole quindi c'è anche se, per ora, non ha ancora un'identità.
Eppure il Regolamento Europeo per la Protezione dei dati personali parla chiaro: la diffusione di dati (o “contenitori di dati”, come ad esempio un video che renda riconoscibile la persona filmata) dei dipendenti è assolutamente vietata, se non esplicitamente approvata dall’interessato, e ogni furto di informazioni sensibili va denunciato al Garante della Privacy entro 72 ore, che si attiverà per verificare i sistemi di sicurezza dell’azienda, per poi decretarne la responsabilità, arrivando a sanzioni che possono toccare il 4% del fatturato mondiale annuale.
Fino a maggio 2018 però il GDPR non sarà attuato e quindi l’ammontare delle possibili sanzioni non sarà a questi livelli.
È però assurdo che proprio in un momento in cui la tutela della privacy dovrebbe essere una priorità per il mondo aziendale, a fronte dei nuovi adempimenti necessari in ottemperanza alla normativa europea, si cada in strafalcioni del genere e si ponga in essere un comportamento irrispettoso delle più banali regole del Codice Privacy, del nuovo Regolamento e, più banalmente, del buon senso.