L’estrazione dei dati che Intesa Sanpaolo aveva condotto dal suo database per determinare quali clienti sarebbero potuti essere trasferiti a Isybank, la banca digitale del gruppo, ha rappresentato una violazione del trattamento dei dati disposto dal Gdpr. Il Garante della Privacy, con una decisione comunicata il 12 marzo, ha inflitto alla banca una sanzione da 17,6 milioni di euro. Per il momento, la banca non ha comunicato l’intenzione di impugnare il provvedimento.
Nello specifico, Intesa avrebbe violato l’obbligo dei principi di “liceità, correttezza e trasparenza” nel trattamento dei dati raccolti in quanto avrebbe utilizzato informazioni come l’età anagrafica o l’operatività sui conti per finalità non chiaramente prevedibili dalla clientela, ovvero il passaggio da un conto corrente presso la banca tradizionale (Intesa) a quella digitale (Isybank) – priva di filiali fisiche.
Di fatto, nell’ambito di questa vicenda la banca ha estratto i dati che hanno consentito delimitare 2,4 milioni di clienti under 65 giudicati “prevalentemente digitali” da spostare successivamente da Intesa a Isybank – un trattamento delle informazioni non espressamente autorizzato e che il Garante non ha ritenuto nel legittimo interesse del cliente. Per il Garante questa determinazione del tipo di cliente ha rappresentato di fatto una profilazione che, come tale, ricade nei vincoli stringenti del Gdpr, il regolamento sul trattamento dei dati personali.
Il nodo della profilazione e la difesa di Intesa
La versione di Intesa è un’altra. Per la banca “il trattamento propedeutico all’operazione societaria non è qualificabile come profilazione, tenuto conto che [Intesa] si è infatti limitata a effettuare estrazioni di anagrafiche dal proprio database basate su criteri oggettivi definiti nell’ambito di un processo strutturato e supervisionato. La finalità non è mai stata quella di realizzare una profilazione del singolo interessato, men che mai tramite sistemi automatizzati, ma soltanto di determinare il perimetro di clientela potenzialmente interessata dall’Operazione”.
La posizione espressa non ha convinto il Garante, ricordando come il Gdpr intenda come profilazione “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica” tra cui “le preferenze personali”. L’uso della filiale fisica, uno dei punti dirimenti per determinare i clienti prevalentemente digitali potrebbe quindi ricadere in una caratteristica di comportamento che di fatto profila il cliente.
La profilazione dei clienti prevalentemente digitali, afferma il Garante, “ha sicuramente inciso giuridicamente sulla sfera personale degli interessati, avendo comportato il trasferimento dei rapporti, ad altro titolare, con conseguente modifica unilaterale delle condizioni contrattuali e dell’operatività del conto corrente, molto diverse da quelle originariamente stipulate con Intesa Sanpaolo”.
Senza consenso esplicito e senza un legittimo interesse, ha concluso il Garante, il trattamento dei dati è da considerarsi illecito.
Il precedente Antitrust e la contrarietà dei clienti
Non ha convinto neanche la posizione per la quale il trattamento nei dati fosse allineato alle “ragionevoli aspettative dell’interessato” nel rapporto di clientela con la banca. Per il Garante il numero di reclami sollevati in seguito alla migrazione silenziosa verso Isybank esprime un “netto contrasto” con l’idea che i clienti potessero dare per scontato che i loro dati sarebbero stati utilizzati per determinare il passaggio a un’altra banca del gruppo Intesa.
La vicenda Isybank era già finita sul tavolo dell’Antitrust che aveva contribuito a correggere alcune delle rimostranze denunciate dai consumatori, fra cui “il riconoscimento della possibilità, per i clienti interessati, di rivalutare il passaggio ad Isybank ove già realizzato” e una modalità di “consenso espresso”.
I numeri relativi alle adesioni al trasferimento avevano mostrato una larga contrarietà: appena 76mila clienti su oltre 2 milioni hanno accettato espressamente di cambiare banca.
