Il cliente aveva chiesto una copia della polizza che aveva stipulato attraverso la banca, ma del documento non vi era più traccia. L’istituto si era giustificato con il fatto che il conto del cliente era stato trasferito da un’altra città molti anni prima, e che non era possibile accedere al contratto originale perché questo era stato archiviato in luogo lontano e per questo risultava troppo dispendioso da recuperare, limitandosi a consigliare al cliente di annullare la polizza.
Al termine dell’istruttoria che ha condotto il garante per la privacy cipriota a seguito del reclamo del cliente, l’autorità ha quindi annunciato di aver imposto una sanzione di 15.000 euro alla Bank of Cyprus per non aver ottemperato agli obblighi previsti dal Gdpr a seguito della perdita della polizza assicurativa del cliente, il quale si è trovato impossibilitato ad accedere al contratto assicurativo, senza possibilità di esercitare i suoi diritti di accesso e di poter verificare la correttezza e la validità dei suoi dati personali.
Infatti, l’interessato aveva chiesto l’accesso alle informazioni ai sensi dell’art. 15 del Gdpr, ma la banca non era stata in grado di dar seguito alla richiesta perché il contratto di assicurazione non era stato trovato, prendendo così atto che il documento era andato perso.
L’autorità di controllo ha rimarcato che la sanzione era la conseguenza della mancata notifica del data breach da parte della banca in relazione alla perdita del contratto che avrebbe dovuto essere effettuata entro 72 ore dal momento in cui la violazione era stata portata a sua conoscenza.
In particolare per questa omissione, non hanno retto le giustificazioni della banca che aveva affermato di non aver provveduto alle comunicazioni previste dal Gdpr perché “non vi era il minimo sospetto che il documento avesse potuto essere perso, ma che con ogni probabilità fosse stato messo solo nel posto sbagliato”.
Nel contesto, si configuravano quindi più violazioni del Gdpr, tra cui quella dei diritti dell’interessato ai sensi dell’art. 15, quella degli obblighi di protezione dei dati personali ai sensi dell’art. 5 e dell’art. 32, oltre alla mancata notifica della violazione all’autorità di controllo e allo stesso interessato ai sensi dell’art. 33 del Regolamento UE.
FONTE: FEDERPRIVACY