NEWS

Spagna: addebito di 5 euro al mese per i clienti che non volevano rinunciare alla loro privacy. Banca sanzionata per 2 milioni di euro

Il consenso per ricevere la pubblicità e per autorizzare la banca a comunicare i dati personali anche ad altre società del gruppo era d’obbligo per i clienti che non volevano trovarsi sul conto corrente un addebito di 5 euro mensili. A dimostrare come tale richiesta fosse una vera e propria forzatura, le caselle dei consensi erano già preselezionate e alla maggior parte dei malcapitati clienti non restava altro che ingoiare il rospo. Fino a quando alcuni non si sono rivolti all’autorità per la privacy.

L'AEPD è l'autorità per la protezione dei dati personali spagnola

Già a partire dal febbraio del 2019, iniziavano infatti ad arrivare all’autorità per la protezione dei dati spagnola (AEPD) le prime contestazioni sull’operato di Bankia, (che nel frattempo si è fusa con CaixaBank nel 2021), sostenendo che l’istituto bancario violasse la privacy dei propri clienti.

In un uno dei vari reclami ricevuti dal garante spagnolo, un cliente accusava la banca di violare il Gdpr chiedendo “la completa cessione dei propri dati personali per non addebitare una commissione mensile di 5 euro”, e con questo comportamento avrebbe “estorto i suoi dati per potergli inviare spam e promozioni commerciali indesiderate”.

Un altro cliente che si era visto addebitare i 5 euro mensili sull’estratto conto aveva anche telefonato alla banca per chiedere spiegazioni, ma questa gli aveva risposto che il motivo era quello di aver rifiutato di dare il suo consenso all’invio delle comunicazioni pubblicitarie tramite email e cellulare, requisito necessario per avere il tipo di conto online di cui aveva richiesto l’attivazione.

Interpellata dall’autorità di controllo che aveva aperto un’indagine per fare lumi sulla vicenda, Bankia si era giustificata sostenendo “che i clienti non erano tenuti ad accettare alcun consenso […] ma che se lo facevano rispettando anche il resto delle condizioni contrattuali del conto digitale potevano essere esentati dal pagamento di commissioni su determinati prodotti”, asserendo inoltre che la procedura di gestione dei consensi sarebbe stata conforme al Gdpr perché consentiva al cliente di modificarli liberamente in modo agile e semplice in ogni momento attraverso uno qualsiasi dei canali dell’istituto. Peccato che, se la modifica consisteva nella revoca del consenso all’invio della pubblicità o della comunicazione alle altre società del gruppo, a quel punto scattava un dazio mensile che andava a gravare per 60 euro di commissioni annue.

Con il GDPR il consenso privacy deve essere dato con una manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato

Nel provvedimento PS/00226/2020 che il 4 marzo 2022 ha infine portato ad una sanzione per 2,1 milioni di euro nei confronti della subentrata CaixaBank, l’autorità per la protezione dei dati spagnola ha ricordato che a norma dell’art.4 sub 11) un consenso conforme al Regolamento UE 2016/679 consiste in una “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”, e sulla base di questo principio l’AEPD ha ribadito che l’esenzione dal pagamento delle commissioni subordinata alla raccolta del consenso dell’interessato per “trattamenti diversi da quelli contrattuali determina che il consenso non è prestato in condizioni di libertà”.

Tirando le somme, non si può certo dire che nel rispetto della privacy finora CaixaBank sia stata proprio impeccabile, in quanto questa sanzione di 2,1 milioni di euro non è altro che l’ennesima che ha fatto seguito a diversi altri provvedimenti dall’AEPD, tra cui la sanzione di 6 milioni di euro del gennaio 2021, e quella da 3 milioni di euro del settembre 2021, per le quali le non conformità al Gdpr sono già costate a Caixa oltre 11 milioni di euro.

Note Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev San Marino: l'autorità per la privacy sanziona Facebook per 5 milioni di euro
Next Finlandia: clinica psichiatrica nel 2018 omette notifica di un data breach ma la sanzione arriva dopo che ha cessato l’attività

Caffè Privacy: il principio di minimizzazione

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy