La panoramica delle più recenti sanzioni inflitte alle banche per violazioni del Gdpr
Mail contenenti i dati personali dei clienti inviate per sbaglio ad altri clienti, invio errato di sms di addebito per bonifici mai effettuati, spedizione di documenti bancari tramite WhatsApp ai destinatari sbagliati, spedizione ripetuta di messaggi pubblicitari nonostante l’opposizione dei clienti, procedure interne che finiscono per ostacolare l’esercizio dei diritti, e pure la profilazione senza consenso degli utenti dell’home banking per analizzare quanto usavano la stampante per riprodurre gli estratti conto. Questi sono alcuni dei motivi che hanno generato le più recenti sanzioni inflitte dalle autorità per la protezione dei dati personali agli istituti bancari.
In Romania l’autorità per la protezione dei dati personali (ANSPDCP) ha sanzionato la Banca Comercială Română per 9864 lei (pari a circa duemila euro) a seguito di una notifica di violazione della sicurezza dei dati inviata dall’istituto bancario in base a quanto previsto dall'art. 33 del Gdpr. Il data breach si era verificato a seguito di un errore tecnico di un'applicazione informatica dell'operatore, e nel corso dell'indagine era emerso che 564 persone fisiche clienti della banca avevano ricevuto mail contenenti dati personali di altri clienti, e questo aveva comportato la divulgazione non autorizzata di varie informazioni come nome e cognome dei clienti, CNP (il codice numerico personale identificativo del cliente), l’indirizzo di residenza, il numero di telefono, l’indirizzo e-mail, insieme a informazioni finanziarie generate erroneamente relative a guadagni o perdite sugli investimenti, e l’ammontare delle imposte dovute. Nel suo provvedimento la ANSPDCP ha ritenuto che la Banca Comercială Română non avesse adottato misure tecniche e organizzative adeguate al fine di garantire un livello di sicurezza corrispondente al rischio di trattamento, violando così quanto previsto dall'art. 25 par. (1) e l'art. 32 cpv. (1) lett. b), d) e par. (2) del Gdpr.
Sempre in Romania, la Raiffeisen Bank è stata sanzionata a seguito di un reclamo di una persona che lamentava la ricezione di SMS sul suo numero di cellulare in merito a 44 trasferimenti di somme di denaro a vari beneficiari, che però non aveva mai effettuato, e infatti dall’indagine è risultato che il numero di telefono del reclamante era stato erroneamente inserito nell'app messa a disposizione dall'operatore, e che la persona in questione non era neanche cliente della Raiffeisen Bank. Il garante rumeno ha quindi contestato la violazione del principio di correttezza dei dati previsto dall'art. 5 par. (1) lett. d) del Gdpr infliggendo alla banca una multa di per 9.763 lei, corrispondente a circa 2.000 euro.
Di recente l’autorità rumena ha sanzionato anche la Alpha Bank che aveva accidentalmente inviato tramite WhatsApp un documento al destinatario sbagliato contenente i dati personali di altri quattro interessati, con i loro nomi e cognomi, nonché informazioni su prestiti e contratti relativi ai rapporti bancari. Durante la sua indagine, il garante ha riscontrato che la banca non aveva attuato misure tecniche e organizzative sufficienti per proteggere i dati personali dei clienti, irrogando a quest’ultima una sanzione di un importo pari a circa 1.000 euro.
In Italia invece il Garante per la protezione dei dati personali ha sanzionato Unicredit, che aveva subordinato qualsiasi risposta all’esercizio dei diritti dell’interessato alla compilazione obbligatoria di un modulo preimpostato dalla stessa banca. Detto modulo, ostacolava l’esercizio dei diritti degli interessati, ed era risultato peraltro incompleto e fuorviante quanto all'effettiva portata dei diritti in questione. La banca aveva ritenuto di scartare le richieste di accesso presentate senza l’utilizzo dell’apposito modulo fornito e aveva risposto ad un interessato solo dopo che quest'ultimo aveva presentato il suo reclamo all’Autorità.
Al riguardo, il Garante della Privacy ha richiamato le Linee Guida EDPB 1/2022 sui diritti degli interessati (diritto di accesso) precisando anche che una richiesta di accesso non può essere evasa semplicemente consegnando all’interessato l'informativa ex artt. 13 e 14 del Gdpr, perché il diritto di accesso ai dati personali e il diritto all'informazione, seppur correlati tra loro, sono diritti distinti, enunciati in distinte disposizioni del GDPR e volti a garantire salvaguardie e tutele con modalità non del tutto sovrapponibili.
Il Garante spagnolo (AEPD) ha inflitto una sanzione di 70.000 euro al Banco Bilbao Vizcaya Argentaria, che aveva ripetutamente inviato messaggi pubblicitari a un interessato, sebbene questo si fosse opposto al trattamento dei suoi dati. La sanzione originaria è stata poi ridotta a 42.000 euro per versamento volontario e ammissione delle proprie responsabilità da parte della banca.
L'autorità spagnola per la protezione dei dati ha inoltre sanzionato Bankinter per violazione dell'art. 5, par. 1, lettera f), del Gdpr per aver inviato una relazione sul portafoglio di investimenti di un cliente al destinatario sbagliato, a causa di un errore informatico della stessa banca. Inoltre, l'AEPD ha riscontrato una violazione della sicurezza nei sistemi di Bankinter qualificata come violazione della riservatezza, considerata una violazione dei principi di integrità e riservatezza. Di conseguenza, con provvedimento PS/000421/2021 il garante iberico ha inflitto a Bankinter una sanzione di 70.000 euro per la predetta violazione, successivamente ridotta a 56.000 euro, a seguito del pagamento volontario da parte della banca.
La sanzione più pesante che ha colpito le banche negli ultimi mesi è stata però quella di 900.000 euro inflitta in Germania dal Garante della Bassa Sassonia alla Hannoversche Volksbank, che aveva profilato clienti ed ex clienti senza il loro consenso. Con l'obiettivo di identificare i clienti con una maggiore disponibilità all'uso dei media digitali e indirizzarli in modo più intenso attraverso i canali di comunicazione elettronica a fini promozionali, la Volksbank aveva analizzato i comportamenti di utilizzo del digitale e valutato, tra l'altro, gli acquisti negli app store, la frequenza di utilizzo delle stampanti per estratti conto e il numero totale di bonifici nell'online banking rispetto all'utilizzo dei servizi in filiale.