Il Garante Privacy ha sanzionato una notoria banca nazionale per aver trattato in modo illecito i dati personali di milioni di clienti, trasferiti in maniera unilaterale ad una controllata digitale.
Il Garante ha evidenziato differenti violazioni in merito alla profilazione della clientela. In particolare, i clienti sono stati selezionati sulla base di differenti elementi tra cui: l’età anagrafica non superiore a 65 anni, l’utilizzo abituale di canali digitali, l’assenza di prodotti di investimento e una disponibilità finanziaria al di sotto di una determinata soglia.
In particolare, tramite l’operazione effettuata dalla banca, un numero ingente di clienti è stata trasferita ad una società controllata con conseguente modifica unilaterale del rapporto contrattuale e mutamento del titolare del trattamento.
Il Garante, sotto quest’ultimo profilo, ha evidenziato come le comunicazioni effettuate dalla banca risultassero inidonee a rendere effettivamente edotti i clienti della portata della modifica contrattuale.
In particolare, la banca aveva provveduto ad una prima individuazione dei clienti prevalentemente digitali attraverso un gruppo di lavoro, per poi effettuare un’estrazione dei clienti che rispondessero a determinati requisiti, attraverso sistemi automatizzati di profilazione, e quindi trasferirli direttamente alla controllata: tale trattamento ha significativamente inciso sui diritti degli interessati poiché le condizioni contrattuali dalla controllante alla controllata erano molto diverse.
Sulla corretta individuazione della base giuridica per la profilazione dei dati dei clienti
Ai sensi dell’art. 4 par. 4 del GDPR la profilazione consiste in “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.
Il Garante precisa che “non deve necessariamente essere finalizzata allo svolgimento di attività di marketing”.
In relazione all’attività di profilazione posta in essere dalla banca, il Garante si è pronunciato quindi in merito alla base giuridica del trattamento dei dati dei clienti: mentre, infatti, la banca ha ritenuto che la stessa consistesse nel legittimo interesse ex art 6, paragrafo 1, lettera f) GDPR, per il Garante l’applicazione di tale articolo non è automatica in quanto “il titolare del trattamento deve procedere a una ponderazione per valutare se gli interessi o i diritti e le libertà fondamentali dell’interessato non prevalgano sui propri interessi.”
In particolare, deve tenersi conto del dettaglio del profilo, della sua completezza, dell’impatto della profilazione sull’interessato e delle garanzie destinate ad assicurare la correttezza e non discriminazione del processo di profilazione.
Il Garante ricorda che nella vigenza dell’abrogata normativa, compatibile con l’attuale quadro, aveva pubblicato le “Linee guida per trattamenti dati relativi al rapporto Banca-clientela” (provv. n. 53 del 25 ottobre 2007) secondo cui la base giuridica dei trattamenti in occasione a comunicazioni dei dati della clientela nell’ambito di operazioni societarie , alla luce della natura non sensibile dei dati oggetto di trattamento, sia il legittimo interesse, sempreché questo sia prevalente rispetto a quello dei clienti.
Pertanto, nonostante possa individuarsi astrattamente come legittima la base giuridica del legittimo interesse, per quanto concerne l’attività di trattamento di dati per la loro trasmissione alla controllata, l’ente avrebbe dovuto operare un bilanciamento con i diritti degli interessati.
Nel caso di specie, il Garante ritiene quindi che la base giuridica in questione così come individuata dalla banca (il legittimo interesse) non sia conforme al GDPR, in quanto la banca nel corso dell’istruttoria non ha fornito elementi sufficiente per ritenere soddisfatto il necessario requisito del bilanciamento fra gli interessi dell’ente e quelli degli interessati: infatti, “in relazione alla valutazione delle ragionevoli aspettative degli interessati, il test di bilanciamento, esibito dalla Banca, si limita a riportare genericamente che “il trattamento rientra nelle ragionevoli aspettative dell’interessato in virtù della relazione Titolare e Interessato” […] senza fornire però alcun elemento concreto che giustifichi tale affermazione“.
In sostanza, per l’attività di profilazione la base giuridica correttamente individuabile, secondo il Garante, è quindi quella del consenso degli interessati ex art. 6, par. 1 lett. a) GDPR: pertanto, “dal momento che gli interessati non sono stati messi nelle condizioni di rilasciare il proprio consenso alla profilazione, si configura per l’effetto, la violazione dell’art. 6, par. 1, del RGPD.”
Sulle informative dovute agli interessati
Il trattamento dei dati, in aggiunta – prosegue il Garante – per essere lecito deve essere innanzitutto trasparente. L’interessato deve quindi essere informato dell’esistenza del trattamento, delle sue finalità, dell’esistenza di una profilazione e di un processo decisionale automatizzato.
In merito alle informative sul trattamento rese agli interessati il Garante evidenzia come risultino essere il principale mezzo di conoscenza dell’esistenza di un’attività di profilazione.
Le modalità utilizzate dalla banca sono pertanto state censurate dal Garante poiché queste si rinvenivano nella sola sezione archivio dell’area utente dell’internet banking o della App, senza darne particolare evidenza. In aggiunta, sono state realizzate nel periodo estivo, in cui si presume un grado inferiore di attenzione da parte degli cliente.
Il criterio utilizzato dalla banca era, poi, quello del “silenzio-assenso”: l’interessato doveva manifestare entro un determinato termine il proprio dissenso al trasferimento.
Il Garante ha quindi accertato che l’informativa resa ai clienti sul trattamento posto in essere per l’operazione societaria in esame è risultata in violazione dei principi di liceità, correttezza e trasparenza ai sensi dell’art. 5 par.1, lett. a) del GDPR.
