Una sanzione di € 6 milioni è stata emessa dal garante privacy spagnolo nei confronti di una banca a cui, tra gli altri, sono state conteste le modalità di trasferimento dei dati personali dei clienti.
La Agencia Española de Protección de Datos (AEPD), il garante privacy spagnolo ha sanzionato una banca per € 6 milioni per il trattamento di dati personali dei propri clienti in violazione delle disposizioni contenute negli articoli 6, 13 e 14 del Regolamento UE 2016/679 (il GDPR).
La sanzione è stata comminata a seguito di un reclamo presentato alla stessa Autorità da parte di un cliente dell’istituto bancario il quale lamentava che la banca gli aveva imposto l’obbligo di accettare nuove condizioni in materia di protezione dei dati personali che ricomprendevano la prestazione del consenso al trasferimento dei dati personali alle altre società del gruppo. Tale consenso poteva essere revocato dal cliente solamente tramite la presentazione di un’apposita lettera da indirizzare a ciascuna delle società del gruppo coinvolte nel trasferimento.
In primo luogo, il garante privacy spagnolo ha rilevato come la banca aveva violato i propri obblighi di informazione di cui agli articoli 13 e 14 del GDPR insieme alle prescrizioni sulla trasparenza in materia di informativa sul trattamento dei dati personali avendo fornito ai propri clienti informazioni incoerenti e insufficienti per determinare la natura dei trattamenti effettuati nonché le categorie e la tipologia di dati personali oggetto di tali trattamenti. Allo stesso modo, l’AEPD ha ritenuto che le informazioni fornite includessero terminologie imprecise ed un linguaggio che non permetteva ai clienti di comprendere in maniera chiara e precisa quali fossero i soggetti responsabili e i diritti esercitabili dall’interessato rispetto ai singoli trattamenti effettuati dalla banca.
Il garante privacy spagnolo ha altresì rilevato come la banca aveva trattato i dati personali dei propri clienti, con particolare riferimento ai trasferimenti fra le società del gruppo, in maniera illegittima poiché in assenza di una specifica base giuridica ai sensi dell’articolo 6 del GDPR. A tal proposito, l’AEPD ha contestato all’istituto bancario carenze nei processi della gestione dell’ottenimento del consenso dei clienti al trattamento dei dati, il quale veniva raccolto attraverso l’accettazione delle nuove condizioni contrattuali senza che fosse data la possibilità di poter dissentire al trasferimento infragruppo dei dati. Pertanto, il garante privacy spagnolo ha ritenuto che tale consenso non fosse una base giuridica idonea per il trasferimento non essendo stato espressione di una volontà specifica, inequivocabile e informata dell’interessato, determinando dunque l’illiceità del trattamento.
Alla luce di quanto sopra indicato, l’AEPD ha condannato la banca al pagamento di una somma pari a € 6 milioni a titolo di sanzione pecuniaria e dovrà, entro sei mesi, adeguare i trattamenti alla vigente normativa in materia di protezione dei dati personali. ll garante spagnolo ha precisato che l’ammontare delle sanzioni comminate è correlato alla gravità delle infrazioni, all’elevato volume di dati personali, e all’elevato numero di interessati, oltre 15 milioni di clienti.
Su di un simile argomento può essere interessante l’articolo: “L‘EDPB e l’EDPS adottano pareri congiunti sulle nuove clausole contrattuali standard per il trasferimento dei dati personali”.
Autore: DLA Piper
