Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 1 000 000 euro mot CA Autobank S.p.A. av överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade ville hyra en bil från Drivalia Leasys Rent S.p.A., ett företag som ägs av CA Autobank. Drivalia Leasys Rent genomförde en bakgrundskontroll av den registrerade genom CA Autobank. Bakgrundskontrollen gav ett negativt resultat och den registrerade nekades därför uthyrningen. Den registrerade in en begäran om tillgång till CA Autobank för att få veta vilken information som ledde till det negativa resultatet av kontrollen. Eftersom den registrerade inte fick något svar lämnade hon in ett klagomål till Garante.
På begäran av Garante påpekade CA Autobank först och främst att de två företagen tillhör samma koncern och att de hade ingått ett personuppgiftsbiträdesavtal sinsemellan. Dessutom hävdade CA Autobank att denna kontroll utförts genom att konsultera SCIPAFI-systemet (en databas som förvaltas av italienska ekonomi- och finansministeriet för förebyggande av bedrägerier. Endast vissa verksamheter har rätt att få tillgång till databasen för att kontrollera om de handlingar som kunden tillhandahåller är äkta eller inte. Exempelvis är en bank skyldig att konsultera SCIPAFI innan den utför vissa banktjänster till en kund.
Garante noterade inledningsvis att när åtkomsten till SCIPAFI gjordes, var CA Autobank endast behörigt att få åtkomst till denna databas för sina egna syften. Först senare fick CA Autobank tillstånd att söka i databasen för Drivalia Leasys Rent räkning.
Garante påpekade vidare att syftet med SCIPAFI är att jämföra den handling som kunden tillhandahåller med en kopia av den autentiska handling som laddats upp i systemet. I det här fallet hade CA Autobank tillgång till en kopia av den registrerades skattedeklaration. Kunden hade dock aldrig tillhandahållit ett sådant dokument, vilket skulle ha behövts för att göra en jämförelse. Garante ansåg därför att denna behandling var olaglig och konstaterade en överträdelse av principen om laglighet enligt artikel 5.1 (a) GDPR.
För det andra konstaterade Garante att avtalet mellan Drivalia Leasys Rent och CA Autobank var oklart. Garante ansåg dock att avtalet fortfarande kunde betraktas som ett bindande avtal enligt artikel 28.3 GDPR. Garante konstaterade dock en överträdelse av samma artikel eftersom CA Autobank inte var behörigt att utföra denna behandling för Drivalia Leasys Rents räkning. På dessa grunder har Garante utfärdat en sanktionsavgift på 1 000 000 euro mot CA Autobank.