NEWS

Spagna: banche nel mirino dell'autorità per la privacy, multe per 11 milioni di euro nel giro di poche settimane

L’autorità di controllo per la protezione dei dati spagnola (AEPD) ha inflitto alla CaixaBank sanzioni per sei milioni di euro per trattamenti illeciti dei dati personali dei propri clienti. Lo scorso dicembre un altro istituto bancario, il Banco Bilbao Vizcaya Argentaria (BBVA) aveva ricevuto una multa di 5 milioni di euro sempre dal garante iberico per l'invio di comunicazioni commerciali senza espresso consenso e l'impossibilità dei clienti di poter scegliere quali dati fornire o meno alla banca. Ammontano quindi ad 11 milioni di euro le multe che hanno colpito il mondo bancario spagnolo in poche settimane.

 Nicola Bernardi, presidente di Federprivacy

(Nella foto: Nicola Bernardi, presidente di Federprivacy)


Nel caso che ha riguardato la CaixaBank, tutto era iniziato tre anni fa, quando un cliente aveva inviato una lettera all'AEPD denunciando che la banca “gli aveva imposto l'obbligo di accettare le nuove condizioni in materia di protezione dei dati personali, nello specifico quella relativa il trasferimento dei tuoi dati personali a tutte le società del gruppo”, sottolineando che per annullare tali trattamenti era necessario scrivere una lettera a ciascuna delle società, in modo del tutto sproporzionato, dal momento che l’accettazione delle condizioni avveniva con un unico atto.

La FACUA (Facua-Consumidores en Acción), un’associazione di consumatori che ha seguito la vicenda, aveva accusato la banca di sottoporre ai propri clienti un contratto di adesione il cui contenuto non poteva essere negoziato dal consumatore, il quale era di fatto obbligato a prestare il consenso al trattamento dei propri dati personali ed al trasferimento degli stessi a società terze con cui avrebbe potuto non avere neanche un rapporto.

L’autorità spagnola ha rilevato che la CaixaBank abbia violato in modo oggettivo le prescrizioni sulla trasparenza richiesta dal Regolamento UE 2016/679 sulla protezione ei dati personali (Il Gdpr ugualmente applicabile in tutti i paesi dell'Unione Europea) riguardo l’informativa sul trattamento dei dati personali, in quanto è stata utilizzata “una terminologia imprecisa per definire la politica sulla privacy, così come le informazioni sulle categorie di dati personali oggetto di trattamento sono insufficienti".

Le sede del Garante per la privacy spagnolo

Ma la violazione ancora più grave a giudizio dell’AEPD è quella sul consenso, perché affinché il trattamento dei dati personali sia lecito, avrebbe dovuto esserci una "espressione di volontà specifica, inequivocabile e informata da parte dell’interessato.

Inoltre, l’autorità spagnola ha contestato "carenze nei processi della gestione dell'ottenimento del consenso dei clienti per il trattamento dei propri dati personali" che sono stati costretti a "trasferire illecitamente i dati personali alle società del Gruppo CaixaBank.

Nel lungo provvedimento di 177 pagine, il garante spagnolo ha precisato che l'ammontare delle sanzioni comminate alla CaixaBank è correlato alla gravità delle infrazioni, all'elevato volume di dati personali, e all’elevato numero di interessati, oltre 15 milioni di clienti. La banca ha preannunciato l’intenzione di valutare il ricorso.

Note Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Singapore, i dati dell’app di contact tracing a disposizione della polizia. Due lezioni importanti
Next Usa: Class action con l'accusa di violazione privacy degli utenti, TikTok paga 92 milioni di dollari

Il furto d'identità con l'intelligenza artificiale

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy