A seguito di una serie di segnalazioni di violazione dei dati personali effettuate, tra il 9 novembre 2018 e il 27 giugno 2019, dalla Bank of Ireland Group plc alla Commissione per la protezione dei dati, è iniziata un’indagine che ha rilevato la violazione degli artt. 33, 34 e 32 del GDPR e ha comportato non soltanto una nota di biasimo ma anche una sanzione pecuniaria.

Le notifiche riguardavano la corruzione delle informazioni nel feed di dati della Bank of Ireland al Central Credit Register, un sistema centralizzato che ha lo scopo di raccoglie e archiviare in modo sicuro le informazioni sui prestiti, e includevano non soltanto divulgazioni non autorizzate di dati personali a quest’ultimo ma anche alterazioni accidentali dei dati dei clienti sempre all’interno del Central Credit Register.

A seguito dell’indagine sono emerse una serie di violazioni perpetuate dalla Bank of Ireland Group. In primo luogo (i) dell’art.33, non soltanto al paragrafo 1, in quanto la violazione dei dati personali non è stata segnalata senza indebito ritardo, ma anche al paragrafo 3, non avendo fornito dettagli sufficienti alla Commissione per la protezione dei dati in relazione ad alcune violazioni dei dati personali. In secondo luogo (ii) è stata rilevata la violazione dall’art.34 poiché nonostante si trattasse di una violazione di dati personali che poteva comportare un rischio elevato per i diritti e le libertà degli interessati, la Banca irlandese ha mancato di informare questi ultimi senza indebito ritardo. In infine (iii) è emerso come non fossero state attuate misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio presentato dal suo trattamento dei dati dei clienti nel trasferimento delle informazioni al Central Credit Register, in violazione dell’art. 32 GDPR.

A seguito di quanto rilevato, la Commissione per la protezione dei dati ha ritenuto necessario imporre (i) una sanzione amministrativa pari a 463.000 euro per la violazione degli artt. 33 e 34 GDPR (ii) un’ingiunzione al rispetto dell’art. 32 GDPR modificando le misure tecniche e organizzative affinché possano essere considerate idonee per il trattamento svolto e, da ultimo, (iii) ha emesso una nota di biasimo per tutte le violazioni individuate nella decisione.

L’intero provvedimento può esser consultato al seguente link: Provvedimento