INTESA SANPAOLO: PROFILAZIONE ILLECITA E SANZIONE DEL GARANTE

Il trattamento dei dati personali nel settore bancario deve rispettare rigorosamente i principi del GDPR, in particolare quelli di liceità, correttezza e trasparenza previsti dagli artt. 5 e 6 del Regolamento. Il provvedimento del Garante per la protezione dei dati personali del 12 marzo 2026, che ha irrogato una sanzione di oltre 17 milioni di euro a Intesa Sanpaolo, rappresenta un caso emblematico di violazione di tali principi. L’Autorità ha accertato che la banca aveva effettuato una profilazione della clientela per selezionare i soggetti da trasferire alla banca digitale Isybank, utilizzando criteri quali età, abitudini digitali e disponibilità economiche, senza disporre di una idonea base giuridica. Tale attività è stata qualificata come trattamento autonomo rispetto al trasferimento dei dati nell’ambito dell’operazione societaria. Inoltre, il Garante ha rilevato gravi carenze nella trasparenza delle comunicazioni, ritenute inadeguate a garantire una reale consapevolezza degli interessati. La decisione chiarisce che la profilazione non è limitata alle finalità di marketing, ma comprende qualsiasi attività automatizzata di analisi delle caratteristiche personali. Il caso evidenzia come la trasformazione digitale non possa giustificare deroghe ai diritti fondamentali degli utenti, imponendo agli operatori economici un approccio rigoroso alla compliance normativa.

Per approfondire, contatta lo Studio Legale dell’Avv. Maria Bruschi. Seguici per altri aggiornamenti.