El Banco de Irlanda podría enfrentar varios casos civiles después de que una investigación descubriera que los detalles de 47,000 clientes habían sido alterados de una manera que podría dañar su historial crediticio.
La Comisión de Protección de Datos (DPC) encontró que el banco había violado el Reglamento General de Protección de Datos (GDPR), la ley de la Unión Europea sobre protección de datos y privacidad, con respecto a la información inexacta enviada al Registro Central de Crédito (CCR).
En algunos casos, se agregaron datos incorrectos al archivo del cliente para indicar que estaban «en dificultades financieras».
Cuando DPC se comunicó inicialmente con el Banco de Irlanda sobre el error, dijo que un cliente se había visto afectado.
“Finalmente, se descubrió que aproximadamente 47,000 interesados se vieron afectados por esta violación”, dijo el DPC, y agregó que el Banco de Irlanda tardó más de 18 meses en proporcionar la cifra final de los afectados.
Con respecto a un ejemplo de alto riesgo en el que 236 personas informaron información de tarjeta de crédito inexacta, DPC dijo que era «inexplicable» que el banco esperara hasta noviembre o diciembre de 2019 para informar a los clientes cuándo podría haberlo hecho en junio pasado.
Se ordenó al Banco de Irlanda que solucionara los problemas con sus sistemas de procesamiento de datos y se le reprendió por el tiempo que tardó en informar a los clientes.
Si bien el DPC ha multado al banco con 463 000 €, podría costarles mucho más que eso.
El Director de Cumplimiento de Datos en Europa, Simon McGarre, dijo que los hallazgos del DPC podrían ser una indicación temprana de un problema más amplio con el mal manejo de los datos de los clientes por parte de las empresas, y sugirió que el Banco de Irlanda probablemente enfrente acciones judiciales por parte de los clientes.
McGarr dijo que el caso «va al corazón de la relación entre el banco y sus clientes».
«En términos de precedencia irlandesa, la multa de 463.000 euros es un número significativo», dijo. «Tampoco es la última palabra del banco. Si las personas se ven afectadas por la violación de datos, tienen derecho a presentar una demanda civil contra el banco».
«Si tiene un impacto grave, el demandante puede demostrar una pérdida financiera por esta infracción. Pero cuando digo que están afectados, solo puede incluir la divulgación indebida de estos datos, no tienen que probar una pérdida financiera real. El RGPD permite recuperar las pérdidas no financieras.
El portavoz financiero de Sinn Féin, Pierce Doherty, dijo que temía que el caso fuera «una señal de problemas más profundos dentro del sector bancario y cómo maneja los datos de los clientes».
En un comunicado, el Banco de Irlanda dijo que «reconoce y se disculpa sinceramente» por las violaciones identificadas por el DPC y dijo que había tomado medidas para abordar las fallas identificadas.
«El banco ha notificado a todos los clientes afectados», dijo. “Ha corregido información inexacta reportada al CCR en todos menos 20 casos que serán corregidos pronto.
«El Banco se comprometió total y proactivamente con la Comisión durante la investigación, y continuará haciéndolo mientras implementa estas acciones adicionales lo más rápido posible».