Un istituto finanziario viola la privacy di una ex cliente consultando per 47 volte la banca dati sulla sua solvibilità finanziaria
L’Agenzia spagnola per la protezione dei dati (AEPD) ha sanzionato per 300.000 euro la società finanziaria Ibercaja, la quale aveva continuato a consultare per ben 47 volte i dati sulla solvibilità finanziaria di una donna, nonostante essa avesse chiuso il rapporto con la banca da oltre due anni.
Avendo estinto il contratto di un mutuo ipotecario, la donna aveva infatti concluso il rapporto contrattuale con la banca il 23 febbraio 2022, tuttavia l'istituto finanziario aveva avuto accesso ai suoi dati personali senza una valida giustificazione nella banca dati di Experian tra marzo 2022 e gennaio 2023.
Dopo essere venuta a conoscenza del fatto che la finanziaria continuava a consultare la banca dati sul suo nominativo, la ex cliente aveva inviato una mail al Citizen Care Service (SAC) di Ibercaja sostenendo che le consultazioni dei suoi dati personali erano effettuate illegittimamente, dal momento che non avevano più alcun diritto di credito da più di un anno, chiedendo perciò alla banca di cessare immediatamente le interrogazioni nelle banche dati.
La banca da parte sua aveva risposto due mesi dopo informando la donna che di aver proceduto a bloccare gli accessi ai suoi dati personali.
La donna aveva però presentato un reclamo al garante spagnolo per la violazione della sua priavcy, e dopo un’analisi della documentazione nel fascicolo, l’AEPD ha accertato che la banca non aveva effettivamente alcuna valida base giuridica per continuare ad effettuare gli accessi ai dati personali della ormai ex cliente.
La Ibercaja ha quindi violato l’articolo 6.1, lettera f), del GDPR riguardante l’illiceità del trattamento, e pertanto l’autorità le ha inflitto la sanzione (Provvedimento PS/00380/2024), anche se avendo ammesso volontariamente le proprie responsabilità ha beneficiato di una riduzione del 40%, pagando subito 180.000 euro per estinguere il procedimento.
