WEBINAR / 23 febbraio
Il Regolamento DORA sulla resilienza operativa digitale


Impatti per il settore finanziario

ZOOM MEETING Offerte per iscrizioni entro il 03/02

WEBINAR / 23 febbraio
Il Regolamento DORA sulla resilienza operativa digitale
www.dirittobancario.it
Flash News

Segnalazioni in CRIF e accesso ai dati personali: il Garante Privacy sanziona la banca

30 Agosto 2022
Di cosa si parla in questo articolo

Con ordinanza ingiunzione n. 226/2022, il Garante Privacy ha sanzionato una banca per illecito trattamento di dati personali stante la segnalazione del nominativo di un cliente in CRIF S.p.A., in assenza della comunicazione di preavviso di cui all’art. 4, comma 7, del “Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” nonché per il mancato riscontro da parte dell’istituto di credito in merito all’istanza del cliente di accesso ai propri dati personali oggetto di trattamento e alla contestuale richiesta di poter disporre di copia dell’informativa privacy.

In particolare, evidenzia il Garante Privacy, nel corso dell’istruttoria è emerso che la banca, a fronte dell’istanza di esercizio dei diritti formulata dal reclamante, non abbia fornito riscontro alla richiesta di accesso ai dati personali, nel termine disposto dall’articolo 12 del GDPR – Regolamento UE 679/2016 (“senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”), né abbia provveduto ad informare il cliente, entro lo stesso termine, delle ragioni dell’inadempienza nonché della facoltà di proporre un reclamo all’Autorità (articolo 12, par. 4 GDPR).

La motivazione assunta dalla Banca, secondo cui l’istanza di esercizio dei diritti fosse stata avanzata nell’ambito di una più ampia e articolata richiesta da parte dell’istante che avrebbe impedito di fornire tempestivo riscontro, non può essere considerata come un motivo valido di esclusione della responsabilità.

Ciò tenendo anche in considerazione quanto stabilito all’art. 12, par. 2, del GDPR in ragione del quale “il titolare agevola l’esercizio dei diritti dell’interessato, ai sensi degli articoli da 15 a 22”.

Inoltre, evidenzia il Garante Privacy,  risulta che la comunicazione inviata dal reclamante sia stata correttamente notificata alla Banca tramite pec (come risulta dalla ricevuta di avvenuta consegna prodotta in atti) e contenga analiticamente le domande sulle quali viene chiesto riscontro.

Da ultimo, il Garante ha rigettato la tesi in ragione della quale l’informativa di cui all’art. 13 del GDPR e i dati oggetto dell’istanza fossero già note all’interessato, in quanto, l’articolo 15 del GDPR riconosce, preliminarmente, all’interessato “il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano” e di conseguenza, e in caso affermativo, il diritto “di ottenere l’accesso ai dati” stessi e alle ulteriori informazioni.

Ciò anche al fine di verificare la correttezza e la completezza dei dati oggetto di trattamento.

Di cosa si parla in questo articolo

WEBINAR / 23 febbraio
Il Regolamento DORA sulla resilienza operativa digitale


Impatti per il settore finanziario

ZOOM MEETING Offerte per iscrizioni entro il 03/02
Iscriviti alla nostra Newsletter