L’autorità croata per la protezione dei dati personali (“AZOP”) ha irrogato una sanzione amministrativa di 20 milioni di Euro ad un istituto di credito per aver negato il diritto di accesso dei soggetti interessati, riconosciuto loro dall’art. 15 del Regolamento UE 679/2016 (“GDPR”).

A partire da ottobre 2018, l’AZOP ha ricevuto numerosi reclami da parte di soggetti interessati riguardanti uno degli istituti di credito croati con sede a Zagabria. Attraverso questi reclami, i soggetti interessati chiedevano all’istituto di credito di ricevere una copia dei loro dati personali. Tale richiesta, però, veniva sempre respinta.

Ai sensi dell’articolo 15, paragrafi 1 e 3 del GDPR, i soggetti interessati possono esercitare il diritto di accesso ai propri dati personali, richiedendo la copia della documentazione di credito relativa alle carte contabili, i piani di rimborso e la revisione delle variazioni dei tassi di interesse nell’ambito dei prestiti bancari, ovvero tutti documenti contenenti dati personali dell’interessato.

Ciò nonostante, l’istituto di credito ha deciso di non dare seguito alla richiesta di accesso ai dati personali avanzata dai soggetti interessati, affermando che, ai sensi della legge sul credito al consumo e di altri regolamenti specifici, non vi era alcun obbligo di fornire l’accesso a tale documentazione dato che, nel caso specifico, non si trattava di accesso ai dati personali, bensì di accesso alla documentazione relativa a prestiti bancari.

A seguito dei reclami ricevuti, l’AZOP ha condotto un’indagine nella quale è emerso che:

  • nel periodo dal 25 maggio 2018 al 30 aprile 2019, l’istituto di credito ha ricevuto circa 2.500 richieste di accesso da parte di soggetti interessati che sono state respinte;
  • al contrario di quanto affermato dall’istituto di credito, la documentazione richiesta conteneva i dati personali dei soggetti interessati.

Pertanto l’AZOP ha ingiunto all’istituto di credito, ai sensi dell’art. 58 paragrafo 2, lett. c) del GDPR, di fornire la documentazione (o copie della stessa) richiesta dai soggetti interessati.

Nonostante l’ingiunzione dell’AZOP, l’istituto di credito non ha provveduto a dare riscontro alle richieste di accesso da parte dei soggetti interessati né ha cercato attivamente di mitigare eventuali conseguenze e rischi per i diritti e le libertà degli stessi.

Alla luce di ciò, considerata la natura e la durata della violazione, nonché l’entità dei soggetti interessati coinvolti, l’AZOP ha irrogato la sanzione amministrativa, spiegando, altresì, che “la condotta tenuta dalla banca dimostra chiaramente che la stessa era consapevole del fatto che nel modo descritto è stato negato l’accesso ai dati personali dei soggetti interessati, violando i loro diritti garantiti dal GDPR”.