Scansionare documenti d’identità costa caro: 4 milioni di euro di sanzione a una banca per violazione del Gdpr
L’autorità di controllo polacca UODO nel comunicato del 26 agosto dà notizia di aver emesso una sanzione pecuniaria di 4 milioni di euro nei confronti di una banca per aver eseguito la scansione di documenti di identità senza procedere alla preventiva verifica dell’obbligo imposto dalle disposizioni AML.

Secondo quanto rilevato, infatti, la banca non effettuava una valutazione individuale del rischio cliente, ma adottava una prassi sistematica anche in situazioni non riconducibili agli obblighi previsti dalla normativa antiriciclaggio.
L’acquisizione delle copie scansionate dei documenti di identità di clienti e potenziali clienti ha comportato così la presentazione di reclami, cui ha fatto seguito un’attività istruttoria che ha accertato che questa era un’attività sistematica iniziata con le procedure interne dichiaratamente di applicazione delle misure di sicurezza finanziaria previste dalla normativa sulla lotta al riciclaggio di denaro e al finanziamento del terrorismo.
Nel corso dei controlli ispettivi, diretti a verificare la sussistenza di una base giuridica dei trattamenti svolti, nonché la portata degli stessi, il metodo e le finalità di raccolta e impiego dei dati personali, sono emerse tutte le criticità successivamente oggetto di contestazione e sanzione. L’assenza di un’analisi delle finalità e la carenza della valutazione individuale del rischio associato al cliente comporta un trattamento illecito dei dati in quanto privo di una valida base giuridica. La quale, è bene ricordare, va interpretata sempre in modo restrittivo anche nella sua declinazione operativa.
L’adempimento degli obblighi previsti dalla legge AML in coordinamento con la normativa in materia di protezione dei dati personali richiede infatti l’applicazione di un approccio basato sul rischio. Questo comporta l’esigenza di condurre una valutazione individuale del rischio di riciclaggio di denaro e finanziamento del terrorismo dovendo dimostrare che il trattamento delle informazioni dei documenti di identità e l’acquisizione di copie degli stessi sia necessaria. Altrimenti, il fondamento di liceità individuato non è valido.
Questo ha comportato la contestazione e l’accertamento della violazione dei principi di liceità, limitazione della finalità e minimizzazione dei dati per aver trattato i dati in situazioni che esulavano dall’ambito di applicazione della normativa AML.
Infine, gli elementi citati che hanno aggravato la sanzione riguardano la portata del trattamento, che ha riguardato 4,72 milioni di clienti, di cui 4,24 milioni di persone fisiche, nonché e il livello di professionalità richiesto in ragione della natura dell’attività svolta e della posizione del titolare. Inoltre, sono stati evidenziati i rischi significativi per gli interessati derivanti dallo svolgimento di tale attività illecita, ovverosia subire effetti negativi quali l’essere esposti a furto di identità o frode sui prestiti.
Si conferma che l’approccio di accountability deve essere concreto e portare anche all’applicazione di un metodo di separazione della complessità in elementi semplici da “mettere alla prova”. Altrimenti, anche le procedure adottate nella convinzione di adempiere ad obblighi di una norma possono portare al paradosso di una sistematica violazione di un’altra.
In questo caso, il GDPR.






