Il Garante privacy, con provvedimento n. 413 del 10 luglio 2025, ha sanzionato a un istituto di credito per non aver risposto in modo esaustivo a un cliente che aveva fatto richiesta di accesso ai propri dati personali contenuti nelle conversazioni telefoniche intercorse fra lo stesso e la banca.
La vicenda, in estrema sintesi, nasce da una frode subita da un cliente, che, al fine di contestare l’esecuzione di un bonifico e ricostruire gli accadimenti, si era rivolto alla banca per ottenere le registrazioni delle chiamate intercorse con il servizio clienti.
Non avendo ricevuto tuttavia una risposta soddisfacente, il cliente ha quindi presentato un reclamo all’Autorità.
Il Garante Privacy ha ricordato preliminarmente:
- la definizione di “dato personale”, ovvero qualsiasi informazione riguardante una persona fisica identificata o identificabile
- la definizione di “trattamento”, ovvero qualsiasi operazioni o insieme di operazioni applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione di cui all’art. 4 del GDPR
- che le “Linee guida 01/2022 sui diritti degli interessati – Diritto di accesso” adottate dall’EDPB il 28/3/2023, stabiliscono che le registrazioni di conversazioni telefoniche (e la loro trascrizione) tra l’interessato che richiede l’accesso e il titolare del trattamento possono rientrare nell’alveo del diritto di accesso a condizione che costituiscano dati personali e purché nel rispetto dei diritti e delle libertà altrui
Il Garante ha accertato che la banca, in qualità di titolare del trattamento, non ha fornito riscontro alla richiesta di accesso, formulata dal reclamante, ai dati contenuti nelle registrazioni delle telefonate dallo stesso effettuate al servizio clienti, entro il termine previsto dall’art. 12, par. 3 del GDPR, ovvero senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta.
E’ altresì emerso che la banca non ha neppure provveduto a informare l’istante, entro il medesimo termine, dei motivi dell’inottemperanza, nonché della possibilità di proporre reclamo a un’autorità di controllo o un ricorso giurisdizionale (art. 12, par. 4 del GDPR).
In particolare, nel corso dell’istruttoria è stato accertato che il titolare del trattamento, solo a seguito della presentazione del reclamo all’Autorità e dell’avvio del procedimento, ha aderito all’istanza di accesso avanzata dall’interessato ai sensi dell’art. 15 del Regolamento, comunicando allo stesso le informazioni richieste.
