L’Autorità di controllo norvegese ha emesso una sanzione contro ODIN FLISSENTER AS (distributore di piastrelle) di circa 14.000 euro per avere effettuato una verifica di solvibilità su un’impresa individuale senza avere le basi giuridiche per questo tipo di trattamento.
Il contesto della sanzione è stato un reclamo successivo ad una verifica di credit rating effettuata da ODIN FLISSENTER su una impresa individuale che non aveva alcun rapporto con l’azienda. L’ammontare della sanzione è stato ridotto tenendo conto delle conseguenze che la pandemia di COVID-19 ha avuto sul titolare del trattamento in questo periodo.
Il provvedimento è interessante in particolare per due motivi (che sono alla base della sanzione):
- le informazioni creditizie sono considerate dati personali quando riguardano un titolare identificabile e direttamente collegato all’impresa sotto il profilo patrimoniale, come nel caso dell’impresa individuale coinvolta in questa verifica;
- Non è lecito trattare dati di credit rating (anche se accessibili tramite servizi leciti) quando non vi è una base di legittimità giuridica.
Il credit rating, si basa su dati personali provenienti da diverse fonti e mostra un punteggio che indica la probabilità che una persona fisica o un’impresa individuale sia in grado di onorare i propri impegni economici e mostra anche dettagli sull’impresa quali dati sui pagamenti, garanzie e coefficiente di indebitamento, la sanzione conferma come non si possano trattare tali dati fuori dalle previsioni del Reg. UE 2016/679 anche se riguardano persone giuridiche quando si tratta di enti patrimonialmente collegati ad un titolare identificabile.
(fonte: EDPB)