Spagna: addebito di 5 euro al mese per i clienti che non volevano rinunciare alla loro privacy. Banca sanzionata per 2 milioni di euro
Il consenso per ricevere la pubblicità e per autorizzare la banca a comunicare i dati personali anche ad altre società del gruppo era d’obbligo per i clienti che non volevano trovarsi sul conto corrente un addebito di 5 euro mensili. A dimostrare come tale richiesta fosse una vera e propria forzatura, le caselle dei consensi erano già preselezionate e alla maggior parte dei malcapitati clienti non restava altro che ingoiare il rospo. Fino a quando alcuni non si sono rivolti all’autorità per la privacy.
Già a partire dal febbraio del 2019, iniziavano infatti ad arrivare all’autorità per la protezione dei dati spagnola (AEPD) le prime contestazioni sull’operato di Bankia, (che nel frattempo si è fusa con CaixaBank nel 2021), sostenendo che l’istituto bancario violasse la privacy dei propri clienti.
In un uno dei vari reclami ricevuti dal garante spagnolo, un cliente accusava la banca di violare il Gdpr chiedendo “la completa cessione dei propri dati personali per non addebitare una commissione mensile di 5 euro”, e con questo comportamento avrebbe “estorto i suoi dati per potergli inviare spam e promozioni commerciali indesiderate”.
Un altro cliente che si era visto addebitare i 5 euro mensili sull’estratto conto aveva anche telefonato alla banca per chiedere spiegazioni, ma questa gli aveva risposto che il motivo era quello di aver rifiutato di dare il suo consenso all’invio delle comunicazioni pubblicitarie tramite email e cellulare, requisito necessario per avere il tipo di conto online di cui aveva richiesto l’attivazione.
Interpellata dall’autorità di controllo che aveva aperto un’indagine per fare lumi sulla vicenda, Bankia si era giustificata sostenendo “che i clienti non erano tenuti ad accettare alcun consenso […] ma che se lo facevano rispettando anche il resto delle condizioni contrattuali del conto digitale potevano essere esentati dal pagamento di commissioni su determinati prodotti”, asserendo inoltre che la procedura di gestione dei consensi sarebbe stata conforme al Gdpr perché consentiva al cliente di modificarli liberamente in modo agile e semplice in ogni momento attraverso uno qualsiasi dei canali dell’istituto. Peccato che, se la modifica consisteva nella revoca del consenso all’invio della pubblicità o della comunicazione alle altre società del gruppo, a quel punto scattava un dazio mensile che andava a gravare per 60 euro di commissioni annue.
Nel provvedimento PS/00226/2020 che il 4 marzo 2022 ha infine portato ad una sanzione per 2,1 milioni di euro nei confronti della subentrata CaixaBank, l’autorità per la protezione dei dati spagnola ha ricordato che a norma dell’art.4 sub 11) un consenso conforme al Regolamento UE 2016/679 consiste in una “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”, e sulla base di questo principio l’AEPD ha ribadito che l’esenzione dal pagamento delle commissioni subordinata alla raccolta del consenso dell’interessato per “trattamenti diversi da quelli contrattuali determina che il consenso non è prestato in condizioni di libertà”.
Tirando le somme, non si può certo dire che nel rispetto della privacy finora CaixaBank sia stata proprio impeccabile, in quanto questa sanzione di 2,1 milioni di euro non è altro che l’ennesima che ha fatto seguito a diversi altri provvedimenti dall’AEPD, tra cui la sanzione di 6 milioni di euro del gennaio 2021, e quella da 3 milioni di euro del settembre 2021, per le quali le non conformità al Gdpr sono già costate a Caixa oltre 11 milioni di euro.
