Il Garante privacy norvegese sanziona una società per aver un controllo del credito senza adeguata base giuridica

Il garante privacy norvegese ha comminato una sanzione di 150.000 NOK ad una società norvegese per aver effettuato un controllo del credito nei confronti di una ditta individuale in assenza di una base giuridica per il trattamento ai sensi del GDPR.

La Datatilsynet, il garante privacy norvegese, ha comunicato di aver comminato ad una società locale una sanzione pecuniaria di 150.000 NOK (pari a circa € 14 mila) per aver eseguito un controllo del credito di una ditta individuale in assenza di una base giuridica per il trattamento e, pertanto, in violazione dell’articolo 6 del Regolamento (UE) 2016/679 (“GDPR”).

Il provvedimento ha origine da un reclamo presentato al garante che lamentava come la società avesse sottoposto ad una procedura di controllo del credito una ditta individuale con la quale non aveva alcun rapporto di clientela e/o di altra natura.

Il controllo del credito è un tipo di valutazione che si basa sulla raccolta di una moltitudine di dati personali che permettono di determinare, tramite un sistema a punti, l’affidabilità creditizia di un soggetto e/o di un’impresa. Il rating permette altresì di conoscere ulteriori informazioni relative alla solvibilità del soggetto e/o entità scrutinata, tra cui la voluntary security dei costi e il rapporto tra capitale disponibile e debiti contratti nell’esercizio delle attività economiche.

Il Garante privacy norvegese ha sottolineato come le informazioni relative all’affidabilità creditizia di una ditta individuale devono essere considerate dati personali dell’imprenditore ad essa riconducibile, in quanto la situazione economica privata di quest’ultimo è direttamente connessa a quella della ditta. A tal proposito, l’Autorità sul trattamento dei dati personali norvegese ha sottolineato come il trattamento dei dati personali relativi all’affidabilità creditizia di una persona fisica sia soggetto a particolari tutele previste dalla normativa privacy che devono trovare applicazione anche rispetto al trattamento dei dati della ditta individuale in virtù dell’intrinseca connessione esistente tra le condizioni economiche della ditta e quelle dell’imprenditore ad essa riconducibile.

Alla luce di tutto quanto precede, la Datatilsynet ha comminato alla società una sanzione pecuniaria pari a circa € 14 mila che ha tenuto conto della riduzione dell’importo della metà rispetto a quanto annunciato precedentemente dall’autorità in conseguenza del forte impatto economico che l’emergenza sanitaria da Covid-19 ha avuto sull’attività economica della società sanzionata.

Questa decisione sottolinea ancora una volta come i dati delle ditte individuali rientrino nell’ambito di operatività del GDPR con i conseguenti obblighi in materia di privacy.

Su di un simile argomento, è possibile leggere l’articolo “L’autorità privacy norvegese ha comminato una sanzione per illiceità del trattamento effettuato mediante un sistema di CCTV”.