Argomenti trattati
Il provvedimento del Garante del 12 marzo 2026 ha inflitto a Intesa Sanpaolo una sanzione di 17,628 milioni di euro per il trasferimento di circa 2,4 milioni di clienti verso Isybank. La decisione non si limita al valore economico della multa: l’Autorità ha messo in discussione il metodo con cui la banca ha individuato i clienti destinati al passaggio, ritenendo che si sia trattato di una vera attività di profilazione realizzata con strumenti automatizzati e senza adeguata informativa.
Le ragioni del provvedimento si innestano su numerosi reclami e sulle azioni precedenti dell’AGCM (intervento cautelare nel 2026 e chiusura del procedimento consumer nel 2026). Nel giudizio del Garante emergono questioni di principio: la riorganizzazione societaria non annulla gli obblighi del GDPR, e l’efficienza interna non può prevalere sui diritti e sulle aspettative degli interessati.
Cosa ha rilevato l’Autorità
Nel corso dell’istruttoria l’Autorità ha ricostruito che la banca ha selezionato i clienti destinati al trasferimento attraverso criteri quali età, modalità di utilizzo dei servizi digitali, tipologia di prodotti e livello delle giacenze. Questa operazione è stata valutata come una valutazione automatizzata di caratteristiche personali, quindi come profilazione ai sensi del GDPR. Il Garante ha distinto nettamente questa fase preliminare dalla successiva comunicazione dei dati per la cessione del ramo d’azienda, affermando che si tratta di due trattamenti distinti e regolati in modo diverso.
Profilazione o semplice selezione?
La banca aveva sostenuto che si trattasse solo di un’organizzazione della clientela e non di una valutazione individuale. Il Garante però ha osservato che le estrazioni dai sistemi gestionali, calibrate su parametri predeterminati, hanno avuto l’effetto concreto di valutare e classificare persone fisiche. Questo quadro corrisponde alla nozione di profilazione per l’analisi o la previsione di aspetti personali, come ribadito dalle Guidelines 1/2026 EDPB, indipendentemente dalla finalità commerciale.
Automazione, articolo 22 e base giuridica
Intesa ha provato a ridurre la rilevanza della componente automatizzata richiamando l’intervento umano nella fase di progettazione: per il Garante non è sufficiente che esseri umani abbiano definito criteri, se poi la selezione massiva è eseguita tramite estrazioni automatizzate. Inoltre la banca ha confuso la nozione di decisione basata unicamente su trattamento automatizzato (art. 22 GDPR) con quella più ampia di profilazione, che non coincide automaticamente con la disciplina dell’articolo 22.
Il ruolo del legittimo interesse
Altro punto cruciale è stato il tentativo di giustificare il trattamento con il legittimo interesse ex art. 6, par. 1, lett. f). Il Garante ha ritenuto che il Legitimate Interest Assessment (LIA) prodotto dalla banca non provasse la necessità del trattamento né un bilanciamento effettivo tra interesse aziendale e diritti degli interessati. Richiami alla giurisprudenza della Corte di giustizia, come nel caso Meta/Bundeskartellamt, confermano che il bilanciamento deve essere concreto e non formale.
Trasparenza e conseguenze operative per le imprese
La mancanza di chiarezza informativa è stata un altro elemento decisivo: l’informativa non spiegava la logica della profilazione né le conseguenze del trasferimento, e le comunicazioni sono state rese disponibili in modo poco evidente (es. archivio dell’home banking), creando un meccanismo vicino al silenzio-assenso. I fatti hanno confermato la discrepanza tra le aspettative della banca e quelle dei clienti, tanto che dopo gli interventi dell’AGCM il numero di clienti che ha effettivamente aderito si è ridotto drasticamente.
Per le imprese la lezione è chiara: occorre separare logicamente i trattamenti, motivare e documentare un LIA solido, prevedere forme di consenso o basi giuridiche adeguate quando la profilazione incide su posizioni contrattuali, e curare con attenzione la trasparenza verso gli interessati. Strumenti di governance, audit e comunicazioni chiare non sono solo adempimenti formali, ma condizioni per evitare rischi reputazionali e sanzionatori sotto il GDPR.