Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 10 000 euro mot inkassobolaget Cribis Credit Management s.r.l. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnat in ett klagomål till Garante. Enligt den klagande har Cribis Credit Management, i företaget Sky Italia S.r.l. intresse, skickat flera e-postmeddelanden avseende betalning av en faktura till en tredje parts e-postadress.
Efter en genomgång av ärendet konstaterade Garante att Cribis Credit Management, då det varit omöjligt att kontakta den klagande per telefon, använt en e-postadress som hittats på nätet för att kontakta den klagande i tron att den tillhörde den faktiska gäldenären, snarare än en tredje part. Garante ansåg att Cribis Credit Management brutit mot principerna om laglighet, korrekthet och öppenhet enligt artikel 5.1 (a) GDPR och uppgiftsminimering enligt artikel 5.1 (c) GDPR, samt kravet på rättslig grund enligt artikel 6 GDPR.
Mot bakgrund av ovanstående beslutade Garante att utfärda en sanktionsavgift på 10 000 euro mot Cribis Credit Management. Vid kvantifieringen av sanktionsavgiften tog Garante bland annat hänsyn till Cribis Credit Managements ansvar för att inte ha följt gällande dataskyddsregler, trots de tydliga riktlinjer som Garante har utfärdat till inkassobolag sedan 2005.