“Bank of Ireland UK ammonita dall’ICO”
L’Information Commissioner’s Office (ICO) nei giorni scorsi ha adottato un provvedimento di richiamo nei confronti di Bank of Ireland UK (BOI) per aver trattato dati inesatti riguardanti i profili creditizi di oltre 3000 clienti.
In seguito alle segnalazioni di due interessati è emerso che la BOI avesse comunicato i dati errati relativi ai conti correnti (tra cui anche lo stato degli arretrati dei prestiti) a una agenzia di rating del credito, con conseguenti ripercussioni sui profili creditizi dei clienti. L’indagine dell’Autorità ha rivelato che i dati inesatti inviati da Bank of Ireland UK alle agenzie di riferimento del credito sarebbero stati determinanti per la eventuale concessione di un mutuo perché utili a definire il credit scoring bancario dei clienti.
Le violazioni contestate riguardavano i seguenti articoli del GDPR del Regno Unito:
- l’art. 5, paragrafo 1, let. d), che stabilisce che i dati personali devono essere esatti e, se necessario, aggiornati; devono essere prese tutte le misure ragionevoli per garantire che i dati personali inesatti, tenuto conto delle finalità per i quali sono stati elaborati, siano cancellati o rettificati senza indugio (esattezza);
- l’art. 5, paragrafo 2, che stabilisce che il responsabile del trattamento deve essere responsabile e in grado di dimostrare l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (accountability).
BOI non è stata in grado di garantire l’accuratezza delle informazioni relative all’ insolvenza dei clienti e questo ha portato alla conservazione di dati personali imprecisi sul loro conto, che sono stati poi successivamente registrati in modo errato sul profilo creditizio dei clienti.
In seguito all’ incidente verificatosi nel 2019 la Banca ha posto in essere alcune misure correttive, valutate con favore dall’ICO, e nello specifico: ha informato tutti i clienti interessati, ha corretto le informazioni errate e infine ha aggiornato le procedure di gestione dei rischi.
Alla luce di questa condotta collaborativa, l’Autorità inglese ha optato per un mero provvedimento di richiamo e si è raccomandata affinché Bank of Ireland UK continui a supportare i clienti interessati, vengano assicurati processi solidi di gestione dei dati e che questi vengano rivisti regolarmente. L’Autorità auspica infine che le raccomandazioni siano condivise con il Gruppo BOI per evitare che questo tipo di incidenti si ripetano in futuro.
