Croazia, sanzione per violazione della privacy da 5,4 milioni di euro ad un’agenzia di recupero crediti
La Croatian Supervisory Authority (SA) ha emesso una sanzione amministrativa di 5.470.000,00 EUR nei confronti del data controller, la Debt Collection Agency EOS Matrix, a causa di violazioni degli articoli 5, 6, 9, 12, 13 e 32 del GDPR. La decisione è stata presa il 5 ottobre 2023 in Croazia.
Il caso ha avuto origine il 22 marzo 2023, quando la Croatian Supervisory Authority (SA) ha ricevuto una petizione anonima che segnalava un trattamento non autorizzato di un gran numero di dati personali di persone naturali (debitori) da parte di EOS Matrix d.o.o., un’agenzia di recupero crediti (data controller). La petizione era accompagnata da una chiavetta USB contenente 181641 dati personali di persone naturali, tra cui nome, cognome, data di nascita e numero di identificazione personale, che avevano debiti in sospeso verso istituti di credito acquisiti da EOS Matrix d.o.o. sulla base di contratti di cessione. Inoltre, la petizione affermava che 294 persone incluse nel database erano minorenni al momento della compilazione dei dati.
Il data controller non aveva implementato adeguate misure tecniche nel sistema di elaborazione (il database principale in cui sono trattati i dati personali di circa 370.000 soggetti) in grado di identificare attività che deviavano da quelle consuete (come ad esempio il numero aumentato di ricerche di dati nel database, il trasferimento di dati al di fuori del sistema, la compromissione dell’accesso degli utenti, ecc.). Questo è stato ritenuto contrario all’articolo 32 del GDPR.
Nel corso dell’attività di supervisione condotta dalla SA, è emerso che il data controller trattava anche dati personali di individui che non erano debitori né rappresentanti legali di eredi nelle relazioni creditore-debitore e per tale trattamento non vi era una base legale ai sensi dell’articolo 6, paragrafo 1, del GDPR.
Per quanto riguarda il trattamento dei dati sanitari, è stato accertato che il data controller registrava attivamente commenti relativi allo stato di salute del debitore (di determinati soggetti). Inoltre, lo stato di salute dei soggetti interessati veniva monitorato con dettagliate diagnosi individuali, tra cui malattie terminali, per le quali non vi era un’eccezione applicabile ai sensi dell’articolo 9, paragrafo 2, del GDPR.
Esaminando le prime tre politiche sulla privacy (in vigore tra maggio 2018 e ottobre 2020), è emerso che il data controller definiva in questi documenti che non avrebbe trattato dati sanitari. Pertanto, il trattamento dei dati personali non era trasparente, il che non è conforme all’articolo 12, paragrafo 1, e agli articoli 13, paragrafo 1 e 13, paragrafo 2, del GDPR.
Inoltre, nel periodo da maggio 2018 a gennaio 2019, il data controller ha trattato dati relativi a 49.850 soggetti registrando conversazioni telefoniche senza avere stabilito una base legale ai sensi dell’articolo 6, paragrafo 1, del GDPR, il che ha portato anche alla violazione dell’articolo 5, paragrafo 2, del GDPR.
La Croatian SA ha imposto una sanzione amministrativa al data controller, la Debt Collection Agency EOS Matrix d.o.o., nell’importo di 5.470.000,00 EUR a causa delle violazioni degli articoli 5, 6, 9, 12, 13 e 32 del GDPR.
Fonte: Diritto Mercato Tecnologia
