Uma reclamação foi feita contra o Banca di Credito Cooperativa di Spinazzola por uma ex-funcionária, que solicitou acesso a seus dados pessoais nos termos do Artigo 15 do GDPR. A funcionária buscava entender quais informações resultaram em uma sanção disciplinar contra ela. O banco forneceu apenas parte dos dados, omitindo documentos de avaliação que embasaram a sanção. A ex-funcionária foi informada de que não possuía interesse legítimo para acessar esses documentos, pois o relacionamento de emprego havia terminado em 2014 e não era mais possível recorrer da sanção.

Somente após a abertura de uma investigação pela Autoridade de Proteção de Dados (DPA) é que o banco entregou à ex-funcionária a documentação adicional que estava no arquivo, incluindo correspondências entre o banco e um terceiro que reclamava da divulgação indevida de informações de um correntista por parte da ex-funcionária, no contexto dos procedimentos disciplinares.

A DPA concluiu que o banco não estava em conformidade com os artigos 12(3) e 12(4) do GDPR, por não ter explicado os motivos da não entrega da documentação adicional. Além disso, destacou que o direito de acesso aos dados pessoais tem como objetivo principal permitir que o titular controle seus dados pessoais e verifique sua precisão. Esse direito não pode ser negado ou limitado, independentemente do propósito do pedido de acesso. Portanto, o banco não deveria negar o acesso com base na suspeita de que os dados solicitados seriam usados pela ex-funcionária em uma defesa judicial, mesmo que o prazo para tal ação legal já tivesse expirado.

Como resultado, o banco foi multado em 20.000 euros por violar os artigos 12(3), 12(4) e 15 do GDPR.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de versão original com o uso do ChatGPT versão 4.