Banca sanzionata per violazione dei princìpi di privacy by design e privacy by default
La protezione dei dati personali non può essere affidata esclusivamente alla diligenza dei dipendenti, ma deve essere incorporata nell'architettura stessa dei processi aziendali. È questo il principio che emerge dalla decisione con cui l'Autorità spagnola per la protezione dei dati (AEPD) ha inflitto una sanzione da mezzo milione di euro a CaixaBank per violazione dell'articolo 25 del GDPR sulla privacy by design e by default.

La multa, pari a 500.000 euro e successivamente ridotta a 400.000 euro per effetto del pagamento volontario da parte della banca, rappresenta uno dei provvedimenti più significativi degli ultimi anni sul tema della progettazione dei sistemi di trattamento dei dati personali.
Il caso - L'origine del procedimento EXP202312854procedimento EXP202312854 non è riconducibile a un attacco informatico o a una sofisticata violazione dei sistemi di sicurezza, bensì a una serie di errori nella gestione del Servizio di Assistenza Clienti (SAC) di CaixaBank.
Nel corso dell'istruttoria sono emersi episodi nei quali clienti della banca hanno ricevuto documentazione contenente dati personali appartenenti ad altri correntisti, incluse informazioni finanziarie, documenti identificativi e pratiche relative a posizioni debitorie.
Secondo la banca si sarebbe trattato di meri errori umani isolati, ma l'AEPD ha invece adottato una lettura ben diversa. L'Autorità ha infatti osservato che analoghi episodi si erano già verificati negli anni precedenti e che una quota significativa delle violazioni era stata scoperta non dai sistemi interni della banca, ma direttamente dai clienti o da soggetti esterni. Un elemento che, secondo il Garante spagnolo, evidenzia una carenza strutturale nella progettazione dei processi di trattamento dei dati.
L'articolo 25 del GDPR oltre il principio formale - La decisione assume particolare rilievo perché interpreta in maniera rigorosa l'articolo 25 del GDPR, che impone ai titolari del trattamento di adottare, fin dalla fase di progettazione e lungo tutto il ciclo di vita dei trattamenti, misure tecniche e organizzative adeguate a garantire il rispetto dei principi fondamentali del Regolamento.
La privacy by design non consiste quindi nell'aggiungere controlli successivamente alla realizzazione di un sistema, ma nel progettare processi che riducano ex ante la probabilità di errori, limitando al minimo il rischio che dati personali possano essere comunicati a soggetti non autorizzati. Lo stesso approccio è richiamato dalla documentazione dell'AEPD, che sottolinea come la protezione dei dati debba essere integrata nella progettazione dei trattamenti e non demandata esclusivamente a procedure operative o alla formazione del personale.
L'errore umano non basta più come giustificazione - L'aspetto forse più interessante della decisione riguarda proprio il rapporto tra errore umano e responsabilità organizzativa.
Spesso è capitato che molte organizzazioni abbiano ricondotto le cause di data breach a comportamenti individuali dei dipendenti, ma l'AEPD afferma invece che quando gli errori si ripetono e il sistema non dispone di controlli capaci di prevenirli o intercettarli tempestivamente, il problema non è più l'operatore, ma va individuato nella stessa progettazione del sistema di protezione dei dati.
In altri termini, un'organizzazione conforme al GDPR dovrebbe prevedere meccanismi di verifica, controlli automatici sui destinatari, segregazione delle pratiche, procedure di validazione e strumenti di rilevazione delle anomalie tali da impedire che un semplice errore materiale produca una violazione della riservatezza.
Si tratta quindi di un passaggio che rafforza il principio di accountability: il titolare del trattamento risponde non solo delle decisioni adottate, ma anche dell'efficacia concreta delle misure implementate.
Non solo sanzione economica - Oltre alla sanzione amministrativa, l'AEPD ha imposto a CaixaBank un obbligo di adeguamento. La banca dovrà infatti predisporre entro 9 mesi un piano dettagliato di revisione del Servizio di Assistenza Clienti, illustrando le modifiche organizzative e tecnologiche introdotte per garantire il rispetto dell'articolo 25 del GDPR.
La misura correttiva assume un significato che va oltre il singolo caso: l'Autorità spagnola non si limita a punire una violazione già verificatasi, ma pretende una revisione dell'intero modello di gestione dei dati personali.
Il provvedimento interessa tutte le organizzazioni che trattano dati personali mediante processi digitali, piattaforme CRM, sistemi documentali o servizi di assistenza clienti. La conformità al GDPR non può pertanto essere più valutata esclusivamente sulla presenza di policy interne, informative privacy o attività formative. Diventa sempre più rilevante dimostrare che il sistema informativo è stato progettato secondo criteri di minimizzazione del rischio, prevenzione degli errori e protezione dei dati sin dalla fase di progettazione.
In questa prospettiva, assumono un ruolo centrale il sistema di gestione della privacy aziendale, (noto anche come MOP), ed altri strumenti quali le valutazioni d'impatto (DPIA), l'analisi preventiva dei rischi, la revisione dei flussi informativi e la verifica periodica dell'efficacia delle misure tecniche adottate.






