L’Autorità Nazionale di Vigilanza ha concluso ad aprile un’indagine presso Banca Comercială Română SA e ha riscontrato una violazione delle disposizioni dell’art. 5 par. (1) lit. a) ed), art. 5 par. (2) e art. 6 del RGPD del Regolamento Generale sulla Protezione dei Dati.
Banca Comercială Română SA, in qualità di titolare del trattamento, è stata sanzionata con una multa di 9.855,8 lei (pari a 2.000 euro) .
L’istruttoria è stata avviata a seguito del ricevimento di una denuncia secondo la quale Banca Comercială Română SA ha utilizzato, senza consenso, i dati personali di una persona fisica, in procedimenti esecutivi per debiti derivanti da un contratto di credito di cui non era a conoscenza.
Il firmatario ha pertanto lamentato l’uso non autorizzato dei suoi dati personali per scopi diversi da quelli da lui autorizzati, nonché l’uso di un indirizzo non più pertinente e per il quale il firmatario riteneva che la banca avesse avuto accesso illegale a una banca dati. Ha inoltre lamentato la mancanza di informazioni circa la fonte di raccolta di tali informazioni ai sensi dell’art. 14 del RGPD, nonché la mancata ricezione di una risposta in merito a diverse richieste da essa rivolte BCR SA
Durante l’indagine, l’Autorità di vigilanza nazionale ha rilevato che Banca Comercială Română SA ha elaborato i dati personali del firmatario senza base giuridica, assegnando erroneamente la qualità di garante nel 2019, estraendo dati obsoleti, utilizzando e divulgando i suoi dati personali nelle procedure di notifica svolte tramite un ufficiale giudiziario, che riguardava gli arretrati di un contratto di credito accumulato da una società, cliente della banca, con la quale il ricorrente non aveva alcun rapporto, in violazione dell’art. 5 par. (1) lit. a) ed) e art. 5 par. (2), nonché dell’art. 6 del RGPD.
L’Autorità Nazionale di Vigilanza ha applicato all’operatore Banca Comercială Română SA anche la misura correttiva per assicurare il rispetto del RGPD delle operazioni di raccolta e ulteriore trattamento dei dati personali, implementando metodi efficienti per rispettare l’esatta e attuale natura dei dati, dal momento della raccolta dei dati e loro inserimento nella banca dati dell’operatore e per tutto il periodo di elaborazione; a tal proposito si valuterà l’implementazione di adeguate ed efficaci misure di sicurezza, sia dal punto di vista tecnico in termini di cancellazione dei dati inesatti / non aggiornati, sia dal punto di vista organizzativo, attraverso la formazione dei responsabili del trattamento sotto l’autorità del titolare del trattamento.
A questo proposito, il considerando (39). Qualsiasi trattamento dei dati personali dovrebbe essere lecito ed equo. Dovrebbero essere adottate tutte le misure ragionevoli per garantire che i dati personali inesatti vengano rettificati o cancellati.
Per quanto riguarda la liceità del trattamento, il considerando (40). Affinché il trattamento dei dati personali sia lecito, dovrebbe essere effettuato sulla base del consenso dell’interessato o sulla base di un altro motivo legittimo previsto dalla legge o in questo in un altro atto del diritto dell’Unione o nazionale, come previsto dal presente regolamento, compresa la necessità di adempiere agli obblighi legali a cui è soggetto l’operatore o la necessità di eseguire un contratto di cui l’interessato è parte o a prima della conclusione di un contratto, su richiesta dell’interessato.