L’autorità di controllo croata (AZOP – Agencija za zaštitu osobnih podataka) ha emesso una sanzione nei confronti di un istituto bancario per non aver garantito correttamente l’esercizio del diritto d’accesso agli interessati. La violazione contestata dall’AZOP riguarda l’art. 15.3 GDPR, ovverosia l’obbligo del titolare del trattamento di fornire, su richiesta dell’interessato, una copia dei dati personali su cui sono svolte le attività di trattamento.
Il fatto risale a ottobre 2018, con le prime segnalazioni riguardanti il sistematico rifiuto da parte dell’istituto bancario a fronte delle richieste di accesso formulate da parte degli interessati, con richiesta di copie della documentazione riguardante i rapporti di credito relativi a dei rapporti di prestito in corso. La motivazione del rifiuto consiste nell’applicazione dei regolamenti specifici in materia di documenti creditizi, in forza dei quali non sussiste alcun obbligo di fornire tali informazioni su prestiti rimborsati. L’accertamento dell’AZOP ha confermato invece la natura di dati personali e per l’effetto l’obbligo per la Banca di fornire tali informazioni su richiesta degli interessati, in forza dell’obbligo di garantire l’esercizio del diritto di accesso, emettendo così un’ingiunzione ai sensi dell’art. 58.2 lett. c).
Nell’istruttoria avviata successivamente, l’AZOP ha riscontrato un numero più elevato di richieste nel 2019 cui non è stato fornito riscontro, rilevando così la mancata volontà da parte della Banca di conformarsi agli obblighi del GDPR, e per l’effetto ha dunque emesso una sanzione amministrativa ritenendola l’unica misura efficace possibile purché sufficientemente dissuasiva e proporzionata alla violazione commessa.
Considerando i criteri previsti dall’art. 83 GDPR, è stata così riscontrata la violazione dei diritti degli interessati per cui è prescritta una sanzione amministrativa pecuniaria fino a 20 milioni di euro, e si è tenuto conto del mancato riscontro alle richieste di oltre 2500 interessati, alla durata della violazione di quasi un anno (dal 25 maggio 2018 al 30 aprile 2019), nonché il carattere grave e doloso della violazione in quanto erano già state emesse singole ingiunzioni per garantire l’esercizio del diritto di accesso a fronte di richieste simili. L’AZOP evidenzia inoltre come la Banca non si sia né conformata agli obblighi del GDPR né tantomeno abbia posto in essere alcuna misura per mitigare gli effetti delle proprie violazioni, e che non rispondendo alle richieste di accesso abbia materialmente conseguito un guadagno (in termine di onere economico e tempo) in danno dei diritti di accesso degli interessati.
A fronte di ciò, però, qual è stato l’importo della sanzione comminata? Alcuni commentatori hanno erroneamente segnalato la sanzione dell’importo 20 milioni di euro. Tale indicazione non è corretta, e probabilmente deriva da una lettura molto rapida del provvedimento in cui c’è quell’unico dato numerico che però è il parametro massimo indicato per la determinazione della sanzione e non la sanzione effettivamente comminata.
L’autorità di controllo croata, infatti, pubblica i provvedimenti nei confronti di titolari e responsabili del trattamento (indicando i trasgressori) nel solo caso di violazioni relative a minori, categorie particolari di dati, profilazione, recidività (nel caso, è stata rilevata l’assenza di violazioni pregresse), o altrimenti sanzioni di importo inferiore a 100 mila HRK (circa 13.000 euro).
Nell’attesa di un’eventuale smentita a riguardo da parte dell’AZOP con la pubblicazione del provvedimento completo e l’indicazione del trasgressore, per ora possiamo ritenere al netto delle evidenze riscontrate che la sanzione sia entro l’importo di 13.000 euro.
