Il Garante per la protezione dei dati personali in Croazia ha imposto una sanzione amministrativa per un importo di € 2.265.000 ad una delle società leader nel campo del recupero crediti (B2 Kapital d.o.o.) a causa delle seguenti violazioni del Regolamento generale sulla protezione dei dati (GDPR):
- la comunicazione agli interessati non era chiara, accurata e trasparente, in merito al trattamento dei loro dati personali e alla base giuridica per il rimborso delle somme pagate in eccesso. Gli interessati oggetto del trattamento erano (almeno) 132.652 al momento del monitoraggio, e la privacy policy era rimasta invariata dal 25 maggio 2018;
- non era stata stipulata una nomina del responsabile del trattamento ex articolo 28 GDPR nei confronti del fornitore del servizio di monitoraggio dei fallimenti dei consumatori, comportando un rischio per il trattamento dei dati personali in quanto non erano state definite le misure tecniche e organizzative di sicurezza e gli obblighi contrattuali del fornitore durante il trattamento. È stato accertato che la suddetta violazione si protraeva dall’accettazione dell’offerta di prestazione del servizio, cioè dal 14 febbraio 2019 al 26 febbraio 2021, quando la collaborazione commerciale è stata interrotta;
- il titolare del trattamento non aveva adottato adeguate misure tecniche e organizzative di sicurezza per il trattamento dei dati personali previste dall’articolo 32 GDPR, comportando una violazione di dati personali (data breach) che ha coinvolto tutti gli interessati e i relativi dati personali (nome e cognome, data di nascita, codici di identificazione, dati sensibili relativi alla posizione finanziaria). Il Garante ha accertato che la violazione era in atto almeno dal 2019 e non era stata ancora sanata, a causa della mancata adozione di adeguate misure di tutela.
In particolare, nel dicembre 2022, Il Garante aveva ricevuto un’istanza anonima in cui si affermava che vi era un trattamento non autorizzato di un gran numero di dati personali di persone fisiche (debitori) e una chiavetta USB contenenti i dati di 77.317 persone fisiche che avevano debiti insoluti verso istituti di credito, e che sono state acquistate dal Titolare del trattamento in base ad un contratto di cessione.
Il Garante croato ha avviato nel dicembre 2022 un procedimento di vigilanza e condotto un procedimento in cui le tre violazioni precedentemente descritte sono state accertate per negligenza da parte dell’agenzia di recupero crediti, con il massimo grado di responsabilità per non aver adottato misure di sicurezza. Questo ha causato la perdita di controllo sul trattamento e trasferimento dei dati personali dei propri interessati e l’incapacità di giustificare le ragioni di tale accesso e comunicazione non autorizzata dei dati personali.
Sono state individuate anche alcune circostanze aggravanti, tra cui:
- carenza di cooperazione, in quanto l’agenzia di recupero crediti, alla richiesta di ulteriori dichiarazioni o documentazione del Garante, ha risposto prima degli ultimi giorni del termine stabilito chiedendo di prorogare il termine per chiarire le circostanze richieste (ritardando la procedura) e non ha fornito alcune informazioni necessarie (elenco delle registrazioni di sistema);
- non ha adottato ulteriori misure di sicurezza per prevenire futuri rischi di violazioni accertate;
- non ha revisionato la propria informativa sulla privacy disponibile sul sito web.
In conclusione, il Garante croato, ha individuato, per questo caso specifico, anche una possibile responsabilità penale (commissione di reato), rimettendone la competenza al Ministero dell’Interno.