El Hellenic Bank había alquilado locales para una filial de Nicosia, pero cuando en 2015 decidió mudarse, se olvidó literalmente de una vieja bóveda con cerradura que había sido construida en un muro del edificio. Luego, de 2015 a 2019, la tienda se había quedado vacía, pero cuando finalmente los locales fueron alquilados de nuevo por su propietario, los nuevos inquilinos descubrieron con sorpresa la existencia de la bóveda abandonada, por lo que decidieron rápidamente avisar al banco, Pero cuando los oficiales del instintivo se dirigían al lugar para abrir los locales blindados no se encontraban en el interior lingotes de oro o fajos de billetes, sino viejas prácticas y filas de clientes y antiguos clientes que habían sido depositados allí en aquel momento.
En ese momento, los funcionarios del banco recogían todo el contenido que había estado cerrado durante cinco años y se preocupaban por transferir toda la documentación a la sede del banco. Sin embargo, según lo previsto por el GDPR, el banco también notificó la «violación de datos» a la Oficina del Comisario de Protección de Datos de Chipre.
Además del retraso en relación con la obligación del banco de notificar a la autoridad de control la violación de la seguridad, que normalmente debería producirse «sin demora injustificada y, si es posible, en un plazo de 72 horas a partir del momento en que tuvo conocimiento de la misma»El Supervisor chipriota también consideró que se había violado el principio de disponibilidad de los expedientes bloqueados en la bóveda entre 2015 y 2019.
Entre los factores agravantes y atenuantes que se evaluaron durante la instrucción en relación con el incidente de seguridad, en marzo de 2021, la Oficina del Comisario de Protección de Datos de Chipre decidió finalmente imponer a Hellenic Bank Ltd una multa de 25.000 euros por las violaciones de los prigncipios de seguridad del artículo 5 del GDPR, las del artículo 32, apartado 1, letras b) y c) la capacidad de garantizar de forma permanente la confidencialidad, integridad, disponibilidad y resistencia de los sistemas y servicios de tratamiento, así como la capacidad de restablecer oportunamente la disponibilidad y el acceso de los datos personales en caso de accidente físico o técnico, así como la impugnación de la notificación tardía con arreglo al artículo 33 del Reglamento de la UE.
Como era demasiado fácil suponer, dado el lugar seguro en el que se encontraban los documentos, los medios de comunicación de Chipre informaron de que, no obstante, el Hellenic Bank deseaba subrayar que, en ese largo período de tiempo, no se había facilitado a terceros información alguna sobre los clientes del banco que se encontraban en la bóveda, y que, entretanto, se han tomado todas las medidas organizativas para que estos acontecimientos no se repitan en el futuro.
FUENTE: FEDERPRIVACY