NEWS

Cipro: il cliente chiede copia della polizza, ma il contratto non si trova. Multata la banca per mancata notifica del data breach

Il cliente aveva chiesto una copia della polizza che aveva stipulato attraverso la banca, ma del documento non vi era più traccia. L’istituto si era giustificato con il fatto che il conto del cliente era stato trasferito da un’altra città molti anni prima, e che non era possibile accedere al contratto originale perché questo era stato archiviato in luogo lontano e per questo risultava troppo dispendioso da recuperare, limitandosi a consigliare al cliente di annullare la polizza.

bank of cyprus


Al termine dell’istruttoria che ha condotto il garante per la privacy cipriota a seguito del reclamo del cliente, l’autorità ha quindi annunciato di aver imposto una sanzione di 15.000 euro alla Bank of Cyprus per non aver ottemperato agli obblighi previsti dal Gdpr a seguito della perdita della polizza assicurativa del cliente, il quale si è trovato impossibilitato ad accedere al contratto assicurativo, senza possibilità di esercitare i suoi diritti di accesso e di poter verificare la correttezza e la validità dei suoi dati personali.

Infatti, l'interessato aveva chiesto l'accesso alle informazioni ai sensi dell'art. 15 del Gdpr, ma la banca non era stata in grado di dar seguito alla richiesta perché il contratto di assicurazione non era stato trovato, prendendo così atto che il documento era andato perso.

la banca non ha trovato il fascicolo, ma il cliente si è rivolto al garante per la privacy

L’autorità di controllo ha rimarcato che la sanzione era la conseguenza della mancata notifica del data breach da parte della banca in relazione alla perdita del contratto che avrebbe dovuto essere effettuata entro 72 ore dal momento in cui la violazione era stata portata a sua conoscenza.

In particolare per questa omissione, non hanno retto le giustificazioni della banca che aveva affermato di non aver provveduto alle comunicazioni previste dal Gdpr perché “non vi era il minimo sospetto che il documento avesse potuto essere perso, ma che con ogni probabilità fosse stato messo solo nel posto sbagliato”.

Nel contesto, si configuravano quindi più violazioni del Gdpr, tra cui quella dei diritti dell'interessato ai sensi dell'art. 15, quella degli obblighi di protezione dei dati personali ai sensi dell'art. 5 e dell’art. 32, oltre alla mancata notifica della violazione all’autorità di controllo e allo stesso interessato ai sensi dell'art. 33 del Regolamento UE.

Note sull'Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Cina: verso nuova legge per la tutela dei dati personali
Next Lituania: sistema informatico sostituisce il nominativo del genitore adottante con quello del genitore biologico, multato un comune

Il presidente di Federprivacy a Rai Parlamento

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy