El cliente había solicitado una copia de la póliza que había firmado mediante el banco, pero no se encontró el documento. El Instituto se justificó que la cuenta del cliente había sido transferida en una otra ciudad hace muchos años, y que no era posible tener acceso al contrato original porque esto había sido archivado en un lugar lejano y por esto resultaba muy costoso recuperarlo, limitándose a aconsejar al cliente la anulación de la póliza.
Al término de la investigación que ha conducido la Autoridad de Protección de Datos de Chipre después la queja del cliente, ha anunciado de haber impuesto una sanción de 15.000 euros a la Bank of Cyprus para no haber cumplido a las obligaciones previstas desde el GDPR después de la pérdida de la póliza asegurativa del cliente, el cual no tuvo el acceso al contrato asegurativo, sin posibilidad de ejercitar sus derechos de acceso y de poder verificar la exactitud de sus datos personales.
De hecho, el interesado había solicitado el acceso a las informaciones de acuerdo al artículo n. 15 del GDPR, pero el banco no ha sido capaz de cumplir esta solicitud porque el contrato de seguro no se ha encontrado, tomando nota que el documento se había perdido.
La Autoridad de Supervisión ha subrayado que la sanción era la consecuencia de la falta de la notificación de la violación de datos por parte del banco en relación a la perdida del contrato que deberia ser efectuada dentro de 72 horas desde el momento de conociencia de la violación.
En particular por esta omisión, no han sido correctas las justificaciones del banco que había afirmado de no haber procedido a las comunicaciones previstas desde el GDPR porque “no estaba ningún sospecho que el documento había podido ser perso, pero que con cada probabilidad había sido puesto en un puesto erróneo”.
En el contexto, se configuraban más violaciones del GDPR, entre las cuales la de los derechos del interesado con arreglo al artículo n.. 15, aquella de las obligaciones de protección de datos personales de acuerdo con el artículo n. 5 y artículo n. 32, además de la falta notificación de la violación de autoridad de supervisión y al mismo interesado con arreglo al artículo n. 33 del GDPR. FUENTE: FEDERPRIVACY