Dopo un procedimento avviato nel 2019, il garante spagnolo per la protezione dei dati personali, l’AEPD, ha stabilito per CaixaBank la sanzione storica di 6 milioni di euro per uso improprio dei dati dei clienti, sula base del Regolamento GDPR.

In particolare, l’autorità garante ha ritenuto che il gruppo bancario abbia violato gli articoli 6, 13 e 14 del GDPR, elaborando in maniera non conforme i dati personali dei clienti, e avendo inoltre omesso di informarli adeguatamente in merito alle politiche di privacy. I clienti hanno dovuto accettare nuove politiche sulla privacy ai sensi delle quali la banca era autorizzata a trasferire i dati personali a tutte le società del gruppo senza avere la possibilità di non acconsentire specificamente a tale trasferimento.

Per rinunciare o negare il trasferimento dei propri dati a tutte le consociate, i soggetti interessati non potevano comunicare la propria volontà alla sede centrale o alla sola capogruppo, ma dovevano altresì inviare una lettera a ciascuna società del gruppo chiedendo che il trasferimento non andasse avanti.

Evidentemente sia la modalità di tutela dei propri diritti – con comunicazione inoltrata anche a soggetti del tutto estranei ad un eventuale rapporto di natura bancaria o finanziaria –, sia la mancata chiarezza circa gli scopi della condivisione dei dati sono stati gli elementi fondanti della decisione del Garante.

Peraltro, la Spagna non è nuova a sanzioni analoghe: nel 2020 anche l’altro gruppo bancario BBVA aveva subito una sanzione di poco inferiore per motivi analoghi.

Al momento nel nostro paese gli istituti di credito non hanno ricevuto sanzioni simili, anche grazie al lavoro di vari uffici preposti al controllo delle privacy policy sotto molteplici aspetti – quasi tutti gli istituti nostrani, almeno una volta all’anno, secondo una indagine condotta dal nostro team, mandano una mail ai propri fornitori di servizi per aggiornamento e verifica dei requisiti fissati dal regolamento GDPR – tuttavia la vicenda in esame dimostra come ormai non sia più rinviabile una scelta di maggior trasparenza circa l’effettivo utilizzo dei dati personali che vengono condivisi.