Il Garante per la Protezione dei Dati Personali sanziona Intesa Sanpaolo con 17,6 milioni di euro e Acea Energia con 2 milioni per violazioni del GDPR. Le due decisioni riguardano pratiche illecite nella gestione dei dati personali che hanno coinvolto milioni di utenti e clienti in Italia. I provvedimenti arrivano a distanza ravvicinata e colpiscono due settori strategici come quello bancario ed energetico. Nel caso di Intesa Sanpaolo, la violazione riguarda la profilazione e il trasferimento non autorizzato di circa 2,4 milioni di clienti verso la piattaforma Isybank. Per Acea Energia, invece, il problema riguarda l’attivazione di contratti senza consenso reale tramite reti commerciali porta a porta. Le sanzioni evidenziano una crescente attenzione dell’autorità su operazioni massive e sull’uso improprio dei dati personali.
Cosa leggere
Intesa Sanpaolo trasferisce clienti a Isybank senza base giuridica
Il caso più rilevante riguarda Intesa Sanpaolo, che ha selezionato milioni di correntisti utilizzando criteri specifici come età inferiore ai 65 anni, utilizzo dei canali digitali e limitata complessità finanziaria. Questi clienti sono stati destinati al trasferimento verso Isybank, una banca digitale controllata dal gruppo. Il Garante ha rilevato l’assenza di una valida base giuridica per questa profilazione. Il trasferimento ha comportato modifiche sostanziali nel rapporto contrattuale, tra cui un nuovo IBAN e l’accesso ai servizi esclusivamente tramite applicazione mobile. Secondo l’autorità, i clienti non potevano prevedere una simile operazione sulla base delle informazioni ricevute. Questo elemento ha contribuito a qualificare il trattamento come illecito. L’impatto è stato particolarmente significativo per la dimensione della platea coinvolta e per le conseguenze operative sui conti correnti.
Comunicazioni insufficienti e poco trasparenti verso i clienti
Un aspetto centrale della decisione riguarda le modalità di comunicazione adottate da Intesa Sanpaolo. Le notifiche sono state inviate durante il periodo estivo e archiviate nell’app senza sistemi di alert evidenti come notifiche push o SMS. Molti clienti hanno scoperto il trasferimento solo dopo il cambio di IBAN o durante l’utilizzo dei servizi bancari. Questo ha creato disorientamento e difficoltà operative, soprattutto per chi utilizzava il conto per pagamenti ricorrenti o accrediti. Il Garante ha sottolineato che la comunicazione non è stata adeguata in termini di trasparenza e comprensibilità. L’assenza di un’informazione chiara e tempestiva ha aggravato la posizione della banca. Questo caso evidenzia come la gestione della comunicazione sia parte integrante della conformità al GDPR.
Acea Energia attiva contratti senza consenso reale degli utenti
Nel caso di Acea Energia, la violazione riguarda l’attivazione di forniture di energia elettrica e gas senza il consenso effettivo degli utenti. Oltre 1.200 clienti hanno scoperto contratti attivi solo dopo aver ricevuto bollette o richieste di pagamento. Le indagini hanno evidenziato pratiche fraudolente da parte di agenti porta a porta, che utilizzavano documenti acquisiti senza autorizzazione e apponevano firme false. In alcuni casi venivano scattate foto dei documenti con dispositivi mobili per completare le attivazioni. Il sistema di controllo interno dell’azienda si è rivelato inadeguato a prevenire queste condotte. La responsabilità è stata attribuita anche alla mancanza di vigilanza sui partner commerciali esterni. Questo episodio evidenzia i rischi legati all’esternalizzazione delle attività di vendita.
Carenze nei controlli e gestione inefficace dei diritti degli utenti
Il Garante ha riscontrato gravi lacune organizzative in Acea Energia, in particolare nella gestione delle richieste degli utenti. Molti interessati non hanno ricevuto risposte tempestive o complete alle richieste di accesso, rettifica o cancellazione dei dati. Il sistema di verifica del consenso si è dimostrato inefficace, permettendo l’attivazione di contratti senza un controllo adeguato. L’assenza di procedure strutturate ha contribuito a rendere sistematiche le violazioni. L’autorità ha evidenziato come le aziende debbano garantire non solo la raccolta corretta del consenso ma anche la tracciabilità e la verificabilità delle operazioni. Questi elementi rappresentano requisiti fondamentali per la conformità al GDPR.
Il Garante impone misure correttive e rafforza la vigilanza
Oltre alle sanzioni economiche, il Garante privacy ha imposto ad Acea Energia una serie di misure correttive. Tra queste figurano sistemi di monitoraggio più avanzati, controlli periodici sulla qualità dei dati e definizione di tempi certi di conservazione. Le decisioni tengono conto della gravità delle violazioni, del numero di persone coinvolte e del livello di collaborazione delle aziende durante le indagini. Il carattere colposo delle condotte ha inciso sulla quantificazione delle sanzioni. L’autorità conferma così un approccio sempre più rigoroso nei confronti delle violazioni che coinvolgono grandi volumi di dati personali. Questo orientamento mira a prevenire comportamenti simili e a rafforzare la tutela degli utenti.
Le sanzioni evidenziano rischi sistemici nei modelli operativi
I due casi mettono in luce criticità comuni legate alla gestione dei dati personali. In particolare emergono problemi nella supervisione delle attività delegate a terzi e nella progettazione dei processi interni. Nel caso di Intesa Sanpaolo, la criticità riguarda la gestione di operazioni massive e automatizzate senza adeguata base giuridica. Per Acea Energia, il problema è legato al controllo delle reti commerciali e alla verifica del consenso. Entrambi gli episodi dimostrano come la conformità al GDPR richieda un approccio strutturato che integri tecnologia, governance e formazione. Le aziende devono investire in sistemi di controllo più robusti per evitare rischi legali e reputazionali.
Impatto sul mercato e implicazioni per le aziende italiane
Le sanzioni contro Intesa Sanpaolo e Acea Energia rappresentano un segnale forte per il mercato italiano. Le autorità mostrano una tolleranza sempre più bassa verso violazioni che coinvolgono un numero elevato di utenti. Le imprese devono rivedere i propri processi di trattamento dei dati, in particolare nelle operazioni di profilazione e nelle attività commerciali esternalizzate. La trasparenza verso gli utenti diventa un elemento centrale per evitare sanzioni. Il contesto normativo richiede un aggiornamento continuo delle pratiche aziendali, soprattutto in settori ad alta intensità di dati come quello bancario ed energetico. Le decisioni del Garante rafforzano il principio secondo cui la protezione dei dati personali è un requisito strategico, non solo normativo.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
