Spagna: banche nel mirino dell'autorità per la privacy, multe per 11 milioni di euro nel giro di poche settimane
L’autorità di controllo per la protezione dei dati spagnola (AEPD) ha inflitto alla CaixaBank sanzioni per sei milioni di euro per trattamenti illeciti dei dati personali dei propri clienti. Lo scorso dicembre un altro istituto bancario, il Banco Bilbao Vizcaya Argentaria (BBVA) aveva ricevuto una multa di 5 milioni di euro sempre dal garante iberico per l'invio di comunicazioni commerciali senza espresso consenso e l'impossibilità dei clienti di poter scegliere quali dati fornire o meno alla banca. Ammontano quindi ad 11 milioni di euro le multe che hanno colpito il mondo bancario spagnolo in poche settimane.
(Nella foto: Nicola Bernardi, presidente di Federprivacy)
Nel caso che ha riguardato la CaixaBank, tutto era iniziato tre anni fa, quando un cliente aveva inviato una lettera all'AEPD denunciando che la banca “gli aveva imposto l'obbligo di accettare le nuove condizioni in materia di protezione dei dati personali, nello specifico quella relativa il trasferimento dei tuoi dati personali a tutte le società del gruppo”, sottolineando che per annullare tali trattamenti era necessario scrivere una lettera a ciascuna delle società, in modo del tutto sproporzionato, dal momento che l’accettazione delle condizioni avveniva con un unico atto.
La FACUA (Facua-Consumidores en Acción), un’associazione di consumatori che ha seguito la vicenda, aveva accusato la banca di sottoporre ai propri clienti un contratto di adesione il cui contenuto non poteva essere negoziato dal consumatore, il quale era di fatto obbligato a prestare il consenso al trattamento dei propri dati personali ed al trasferimento degli stessi a società terze con cui avrebbe potuto non avere neanche un rapporto.
L’autorità spagnola ha rilevato che la CaixaBank abbia violato in modo oggettivo le prescrizioni sulla trasparenza richiesta dal Regolamento UE 2016/679 sulla protezione ei dati personali (Il Gdpr ugualmente applicabile in tutti i paesi dell'Unione Europea) riguardo l’informativa sul trattamento dei dati personali, in quanto è stata utilizzata “una terminologia imprecisa per definire la politica sulla privacy, così come le informazioni sulle categorie di dati personali oggetto di trattamento sono insufficienti".
Ma la violazione ancora più grave a giudizio dell’AEPD è quella sul consenso, perché affinché il trattamento dei dati personali sia lecito, avrebbe dovuto esserci una "espressione di volontà specifica, inequivocabile e informata da parte dell’interessato.
Inoltre, l’autorità spagnola ha contestato "carenze nei processi della gestione dell'ottenimento del consenso dei clienti per il trattamento dei propri dati personali" che sono stati costretti a "trasferire illecitamente i dati personali alle società del Gruppo CaixaBank.
Nel lungo provvedimento di 177 pagine, il garante spagnolo ha precisato che l'ammontare delle sanzioni comminate alla CaixaBank è correlato alla gravità delle infrazioni, all'elevato volume di dati personali, e all’elevato numero di interessati, oltre 15 milioni di clienti. La banca ha preannunciato l’intenzione di valutare il ricorso.