La Autoridad Nacional de Control ha concluido en abril una investigación en la Banca Comercială Română SA y ha revelado una violación de las disposiciones del artículo 5, apartado 1, letra a) y d), artículo 5, apartado 2, and artículo 6 del Reglamento General de Protección de Datos.
Banca Comercială Română SA, como responsable del tratamiento, ha sido sancionada con una sanción de 9.855,80, lei (2.000 euros).
La investigación ha empezado después de haber recibido una queja según la cual la Banca Comercială Română SA ha utilizado, sin consentimiento, los datos personales de una persona física, en procedimientos ejecutivos para dudas que derivan desde un contrato de crédito de cual no estaba a conciencia.
El signatario se quejo del uso no autorizado de sus datos personales para fines diferentes desde los cuales él había autorizado, así como el utilizo de una dirección no más relevante y por el cual el signatario consideraba que el banco había tenido un acceso ilegal al banco de datos. Se ha también quejado de la falta de informaciones sobre la fuente de recogida de estas informaciones con arreglo al artículo 14 del GDPR, así como la falta de recepción de una respuesta sobre diferentes solicitudes dirigidas a BRC SA.
Durante la investigación, la Autoridad Nacional de Control ha relevado que Banca Comercială Română SA ha elaborado los datos personales del signatario sin base jurídica, asignando erróneamente la calidad de Autoridad de Control en 2019, extrayendo datos obsoletos, utilizando y compartiendo sus datos personales en los procedimientos de notificación realizadas mediante un alguacil, que se refería a los atrasos de un contrato de crédito acumulado desde una sociedad, cliente del banco, con la cual el demandante no tenia alguna relación, en violación del artículo 5, apartado 1, letra a) y d), artículo 5, apartado 2, and artículo 6 del Reglamento General de Protección de Datos.
La Autoridad Nacional de Control ha aplicado también a la Banca Comercială Română SA una medida correctiva para asegurar el respeto del GDPR en las operaciones de colección y adicional tratamiento de datos personales, implementado medios eficaces para respectar la exacta y actual naturaleza de datos., desde el momento de la recogida de datos y sus inserción en el banco datos del operador por todo el periodo de tratamiento; a este respeto se evaluará la implementación de adecuadas medidas eficaces de seguridad, tanto desde le punto de vista técnico en términos de cancelación de datos inexactos/no actualizados, como desde el punto de vista organizativo, mediante la formación de los encargados de tratamiento bajo la autoridad del responsable.
En este sentido, el considerando 39: “Todo tratamiento de datos personales debe ser lícito y leal (…) Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos (…)”.
Para lo que se refiere a la licitud del tratamiento, el considerando 40: “Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Unión o de los Estados miembros a que se refiera el presente Reglamento, incluida la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o la necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato.”