La rivista Dimt ha pubblicato la notizia di una maxi-multa inflitta dal Garante della privacy a una banca. Il Garante per la protezione dei dati personali ha inflitto una sanzione amministrativa di 17,6 milioni di euro a Intesa Sanpaolo per violazioni nella gestione dei dati personali di circa 2,4 milioni di correntisti coinvolti nel passaggio dei rapporti bancari verso Isybank, istituto interamente digitale controllato dal gruppo. Il provvedimento conclude un’istruttoria avviata dopo numerose segnalazioni presentate da clienti interessati dall’operazione.

Secondo quanto ricostruito dall’Autorità, la banca avrebbe effettuato una profilazione della propria clientela senza disporre di un’adeguata base giuridica, allo scopo di individuare i correntisti da trasferire alla nuova realtà bancaria digitale. Il processo di selezione avrebbe preso in considerazione diversi criteri, tra cui l’età dei clienti – non superiore a 65 anni –, l’utilizzo frequente dei servizi digitali nel corso dell’ultimo anno, l’assenza di prodotti di investimento e la disponibilità finanziaria inferiore a determinate soglie.

Questa operazione, secondo il Garante, ha avuto effetti rilevanti sulla posizione dei clienti coinvolti. Il trasferimento dei rapporti ha comportato infatti il passaggio a un diverso titolare del trattamento dei dati e la modifica unilaterale di alcune condizioni operative del conto corrente. Tra le conseguenze segnalate vi sono, ad esempio, l’assegnazione di un nuovo codice IBAN, con la necessità di comunicarlo a soggetti terzi, e l’utilizzo esclusivo dei servizi tramite applicazione digitale, senza la possibilità di rivolgersi a sportelli fisici.

Ulteriori criticità sono emerse anche sul piano dell’informazione fornita ai correntisti. Le comunicazioni relative al trasferimento sarebbero state inviate prevalentemente all’interno dell’archivio dell’app bancaria e in molti casi durante il periodo estivo, senza strumenti che ne evidenziassero adeguatamente l’importanza, come notifiche push o messaggi SMS. Secondo l’Autorità, le modalità adottate non avrebbero garantito ai clienti un livello di informazione adeguato rispetto alla portata dell’operazione.

Nel provvedimento si sottolinea inoltre che il trattamento dei dati realizzato nell’ambito di questa iniziativa non poteva essere ragionevolmente previsto dai clienti sulla base delle informazioni disponibili e del contesto del rapporto contrattuale con la banca. Per questo motivo è stato ritenuto illecito.

Nel determinare l’entità della sanzione, l’Autorità ha tenuto conto di diversi fattori, tra cui la gravità delle violazioni accertate e il numero particolarmente elevato di persone coinvolte. Allo stesso tempo sono stati considerati il carattere colposo delle condotte contestate e la collaborazione fornita dalla banca nel corso dell’istruttoria.