Autorità di controllo croata: sanziona un istituto di credito per violazione del diritto di accesso dei soggetti interessati

18 Marzo 2020

L’autorità croata per la protezione dei dati personali (“AZOP”) ha irrogato una sanzione amministrativa di 20 milioni di Euro ad un istituto di credito per aver negato il diritto di accesso dei soggetti interessati, riconosciuto loro dall’art. 15 del Regolamento UE 679/2016 (“GDPR”).

A partire da ottobre 2018, l’AZOP ha ricevuto numerosi reclami da parte di soggetti interessati riguardanti uno degli istituti di credito croati con sede a Zagabria. Attraverso questi reclami, i soggetti interessati chiedevano all’istituto di credito di ricevere una copia dei loro dati personali. Tale richiesta, però, veniva sempre respinta.

Ai sensi dell'articolo 15, paragrafi 1 e 3 del GDPR, i soggetti interessati possono esercitare il diritto di accesso ai propri dati personali, richiedendo la copia della documentazione di credito relativa alle carte contabili, i piani di rimborso e la revisione delle variazioni dei tassi di interesse nell’ambito dei prestiti bancari, ovvero tutti documenti contenenti dati personali dell’interessato.

Ciò nonostante, l’istituto di credito ha deciso di non dare seguito alla richiesta di accesso ai dati personali avanzata dai soggetti interessati, affermando che, ai sensi della legge sul credito al consumo e di altri regolamenti specifici, non vi era alcun obbligo di fornire l’accesso a tale documentazione dato che, nel caso specifico, non si trattava di accesso ai dati personali, bensì di accesso alla documentazione relativa a prestiti bancari.

A seguito dei reclami ricevuti, l'AZOP ha condotto un’indagine nella quale è emerso che:

  • nel periodo dal 25 maggio 2018 al 30 aprile 2019, l’istituto di credito ha ricevuto circa 2.500 richieste di accesso da parte di soggetti interessati che sono state respinte;
  • al contrario di quanto affermato dall’istituto di credito, la documentazione richiesta conteneva i dati personali dei soggetti interessati.

Pertanto l’AZOP ha ingiunto all’istituto di credito, ai sensi dell’art. 58 paragrafo 2, lett. c) del GDPR, di fornire la documentazione (o copie della stessa) richiesta dai soggetti interessati.

Nonostante l’ingiunzione dell’AZOP, l’istituto di credito non ha provveduto a dare riscontro alle richieste di accesso da parte dei soggetti interessati né ha cercato attivamente di mitigare eventuali conseguenze e rischi per i diritti e le libertà degli stessi.

Alla luce di ciò, considerata la natura e la durata della violazione, nonché l’entità dei soggetti interessati coinvolti, l’AZOP ha irrogato la sanzione amministrativa, spiegando, altresì, che “la condotta tenuta dalla banca dimostra chiaramente che la stessa era consapevole del fatto che nel modo descritto è stato negato l’accesso ai dati personali dei soggetti interessati, violando i loro diritti garantiti dal GDPR”.

 

 

 

 

2024 - Morri Rossetti

I contenuti pubblicati nel presente sito sono protetti da diritto di autore, in base alle disposizioni nazionali e delle convenzioni internazionali, e sono di titolarità esclusiva di Morri Rossetti e Associati.
È vietato utilizzare qualsiasi tipo di tecnica di web scraping, estrazione di dati o qualsiasi altro mezzo automatizzato per raccogliere informazioni da questo sito senza il nostro esplicito consenso scritto.
Ogni comunicazione e diffusione al pubblico e ogni riproduzione parziale o integrale, se non effettuata a scopo meramente personale, dei contenuti presenti nel sito richiede la preventiva autorizzazione di Morri Rossetti e Associati.

cross