En person som försökte hyra en bil nekades detta efter en bakgrundskontroll utförd av den italienska banken CA Autobank S.p.A., som tillhör samma företagsgrupp. Efter att ha fått ett negativt besked om att få hyra bilen begärde personen tillgång till information om vilken data som ledde till beslutet. När hon inte fick något svar från CA Autobank, lämnade hon in ett klagomål till den italienska dataskyddsmyndigheten.
Banken förklarade för myndigheten att bakgrundskontrollen hade utförts genom att konsultera en databas för att förebygga bedrägeri som förvaltas av Italiens finansmyndighet. Enligt italiensk lag är banker skyldiga att använda databasen för att verifiera om kunders dokument är äkta. Men när kontrollen gjordes hade CA Autobank endast tillstånd att använda databasen för sina egna ändamål, inte för biluthyrningsföretaget, som den aktuella kontrollen utfördes för. Finansmyndigheten berättigade senare biluthyrningsföretaget att få tillgång till databasen, ett år efter att den registrerade lämnat in sitt klagomål.
Dataskyddsmyndigheten konstaterade att banken hade använt databasen på ett sätt som inte var godkänt vid den tidpunkten och att den aktuella behandlingen av personuppgifter därmed var olaglig, vilket innebar ett brott mot GDPR. Myndigheten fann även att databasen skulle användas för att kontrollera att dokument var riktiga. I detta fall hade företaget fått tillgång till kundens skattedeklaration, trots att kunden aldrig lämnat ut detta dokument. Dessutom fann myndigheten att personuppgiftsbiträdesavtalet mellan biluthyrningsföretaget och banken var otydligt och inte följde kraven i GDPR för hur personuppgifter ska hanteras mellan parter.
På grund av alla dessa överträdelser av GDPR beslöt den italienska dataskyddsmyndigheten att bötfälla CA Autobank med €1,000,000.
