Garante per la protezione dei dati personali (Garante) har bötfällt banken Intesa Sanpaolo S.p.A. med 100 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnat in ett klagomål till Garante. Enligt klagomålet har Intesa Sanpaolo lämnat ut information om den registrerades engagemang i banken till personens förälder. Uppgifterna hade lämnats ut av en anställd i god tro, eftersom föräldern genom sitt föräldraansvar tidigare fått tillstånd att använda sig av den registrerades bankkonto fram till dess att den registrerade fyllt 18 år.
Garante konstaterade att Intesa Sanpaolos motiveringar var otillräckliga och förklarade att undantaget för god tro, i enlighet med etablerad rättspraxis, inte var tillämpligt. God tro kan enligt Garante endast utesluta ansvar när det är oundvikligt, det vill säga när omständigheterna i fallet är sådana att de leder till att den som agerat i god tro kan vara övertygad om att hans handlingar är lagliga, eller om han i alla fall gjort allt som varit möjligt för att följa gällande regelverk.
Garante konstaterade därför att Intesa Sanpaolo genom att lämna ut personuppgifter till en obehörig tredje part brutit mot principen om laglighet, korrekthet och öppenhet enligt artikel 5.1 (a) GDPR, principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR och kravet på rättslig grund enligt artikel 6 GDPR.
Mot bakgrund av de fastställda omständigheterna beslutade Garante att bötfälla Intesa Sanpaolo med 100 000 euro. Vid kvantifieringen av bötesbeloppet ansåg Garante bland annat att Intesa Sanpaolo redan tidigare varit föremål för en liknande verkställighetsåtgärd och att företaget i det aktuella fallet inte lyckats bevisa att det utbildat sin anställde på ett adekvat sätt i fråga om skyddet av finansiella uppgifter.
Garante beordrade även att beslutet som en kompletterande påföljd skulle offentliggöras på myndighetens webbplats.