Il mese scorso l'autorità ha chiesto alla banca di fornire chiarimenti sul caso di un dipendente di Intesa che avrebbe avuto accesso ai dati di circa 3.500 clienti.
All'epoca, Intesa aveva dichiarato che il dipendente era stato sospeso in attesa dei risultati di un'indagine penale, e che aveva informato l'Autorità per la protezione dei dati e stava anche indagando internamente sulla questione.
Ma l'autorità ha affermato in una dichiarazione di martedì che la banca non l'aveva informata adeguatamente sull'entità della violazione, che è emersa in seguito grazie alle notizie della stampa ed è stata confermata solo successivamente da Intesa.
"Contrariamente alla valutazione della banca... la violazione dei dati personali rappresenta un rischio elevato per i diritti e le libertà delle persone interessate", ha detto l'autorità.
Ha detto che le potenziali conseguenze della violazione hanno incluso la divulgazione di informazioni sullo stato finanziario delle persone e danni alla reputazione.
L'autorità di vigilanza sulla protezione dei dati ha incaricato la banca di informare tutti i clienti i cui dati sono stati violati entro 20 giorni.
Ha detto che valuterà l'adeguatezza delle misure di sicurezza messe in atto dalla banca e le ha ordinato di fornire un feedback entro 30 giorni.
Intesa ha dichiarato in un comunicato di aver già iniziato a lavorare per rispondere alle richieste dell'autorità.
Ha detto che garantire il massimo livello di sicurezza per i dati dei suoi clienti è una priorità e che ha già migliorato i suoi sistemi e le sue procedure di controllo.
Intesa ha anche affermato che il numero di clienti interessati era inferiore a quello indicato inizialmente dalla stampa, senza fornire una cifra, e che non vi erano prove che i dati fossero stati condivisi al di fuori della banca.