sanzioni

Comunicazione dati conto corrente al padre del correntista e sanzione alla banca

by

Per aver comunicato i dati di movimentazione del proprio conto corrente al padre (cliente anch’egli dello stesso istituto), la cliente di una banca ha presentato reclamo per violazione delle norme sulla protezione dei dati personali. In seguito alle valutazioni effettuate sul reclamo, il Garante ha sanzionato l’istituto per 100.000 euro, contestando la violazione dell’art. 5(1)(f) del Regolamento (violazione del principio di confidenzialità dei dati) e 6 (trattamento non lecito). La banca ha giustificato il proprio operato sostenendo la buona fede dell’operatore, poiché il padre della correntista, maggiorenne all’epoca dei fatti, era in passato autorizzato ad operare sul conto in quanto esercente la potestà genitoriale.

L’autorità non ha accolto questa tesi e ha ribadito l’illegittimità del trattamento, osservando come l’istituto non abbia appllicato correttivi adeguati dopo una analoga situazione verificatasi nel 2021.

In questo caso il titolare del trattamento non ha potuto dimostrare un livello adeguato di accountabililty, specie considerando l’analogo incidente avvenuto un anno prima. Misure di accountability in questa situazione potrebbero essere specifiche attività di formazione o sensibilizzazione agli operatori della banca, avvisi a video nel momento in cui viene richiesta la stampa o lo scaricamento di un estratto conto, attività che devono poi poter essere dimostrate.

(fonte: Garante per la protezione dei dati personali)

Conservare i dati oltre il necessario può costare una sanzione

by

Una piattaforma online utilizzata da professionisti sanitari per gestire le prenotazioni delle visite dei pazienti in Grecia è stata sanzionata dall’autorità di controllo per non aver cancellato i dati di uno dei medici-utenti dopo la cessazione del rapporto.

L’autorità ha ritenuto che questo comportamento configurasse una violazione degli obblighi di accountability del titolare del trattamento (art. 5(2) del GDPR) a una violazione dei principi di correttezza e trasparenza (art. 5(1)a)) e di limitazione della conservazione (art. 5(1)b) del GDPR). La DPA greca ha poi rilevato una violazione degli artt. 12(2) del GDPR per non aver agevolato l’esercizio dei diritti dell’interessato e una violazione dell’art. 17 del GDPR per non aver garantito all’interessato il diritto alla cancellazione dei dati.

(fonte: GDPR Enforcement Tracker)

Telemarketing senza consenso, nuova sanzione

by

Il Garante per la Protezione dei Dati Personali (www.gpdp.it) ha imposto una sanzione di 20.000 euro a una società di telemarketing in seguito al reclamo presentato da un interessato il quale, dopo essere stato contattato telefonicamente aveva chiesto e non ottenuto informazioni su come la società fosse venuta in possesso del suo numero di telefono. Successivamente, dopo aver esercitato il proprio diritto di opposizione al trattamento dei dati per finalità commerciali (art. 21 del GDPR), il reclamante veniva nuovamente contattato telefonicamente con finalità promozionali senza che venisse dato riscontro alla sua richiesta di applicare il diritto di opposizione nei tempi previsti dal GDPR.

In seguito al reclamo l’Autorità Garante ha avviato un’istruttoria con richiesta di osservazioni alla società di telemarketing in relazione al reclamo. La società decideva di non interloquire con l’Autorità, determinando in tal modo l’applicazione della sanzione amministrativa prevista all’art. 166 del Codice per la Protezione dei Dati Personali nonché le sanzioni applicabili per le violazioni del Regolamento rilevate nel corso dell’istruttoria.