Usare i nostri dati personali costa meno di una pizza margherita
La multa decisa dal Garante della Privacy per Intesa Sanpaolo è passata un po’ sottotraccia. Era solo il capitolo finale di una saga cominciata nell’autunno del 2023, quando migliaia di utenti di Intesa Sanpaolo hanno scoperto che i loro conti sarebbero stati trasferiti verso un nuovo soggetto bancario: Isybank. Il 12 marzo il Garante della Privacy ha multato Intesa Sanpaolo per 17.680.000 euro. All’origine di questa multa c’è il trattamento illecito delle informazioni dei clienti scelti per passare a Isybank: “Per aver trattato in modo illecito i dati di circa 2,4 milioni di clienti trasferiti, unilateralmente alla controllata al 100% Isybank”.
In breve. Intesa Sanpaolo aveva deciso di trasferire su Isybank i clienti che rispondevano a tre caratteristiche: dovevano avere meno di 65 anni, meno di 100.000 euro di deposito e dovevano aver fatto un numero ridotto di operazioni direttamente in filiale. Per farlo, secondo il Garante, Intesa Sanpaolo ha operato una “profilazione della clientela” senza “un’idonea base giuridica”. Non solo. Questa profilazione “ha inciso in modo significativo sulla loro posizione”.
La multa del Garante è stata decisa tenendo conto di due fattori: rilevanza delle violazioni ed elevato numero di clienti coinvolti. Ma non solo, sono state prese in considerazione anche delle attenuanti come “carattere colposo delle trasgressioni” e la “collaborazione prestata dalla banca”. Risultato? Per fare un conto a spanne vuol dire che secondo il Garante della Privacy la sanzione per aver trattato in modo illecito i dati di ogni cliente è di 7,36 euro. Praticamente il costo di una pizza margherita al ristorante.
Il caso del data breach di UniCredit nel 2018: la sanzione del Garante per i dati rubati
Cercando le sanzioni legate ai dati personali in ambito bancario troviamo un riferimento nel marzo del 2024. Qui il Garante aveva deciso una multa da 2,8 milioni di euro nei confronti di Unicredit. Questa volta il problema era stato un data breach avvenuto nel 2018 che aveva portato all’acquisizione di “nome, cognome, codice fiscale e codice identificativo” di 778.000 clienti ed ex clienti. Non solo. Per 6.800 clienti l’attacco era riuscito a prendersi anche il PIN di accesso al portale. Anche qui il calcolo pro-capite non è il altissimo: 3,5 euro. Un kebab economico.
Le altre multe disposte dal Garante per il trattamento illecito dei dati: il caso Autostrade
I nostri dati non valgono sempre così poco. La proporzione delle multe decise dal Garante per la Privacy varia in base alla tipologia di dati e all’entità del danno. Il trattamento dei dati di Intesa Sanpaolo è stato multato per 7,36 euro a cliente, tenendo conto di tutti i passaggi che abbiamo visto. Ma le proporzioni delle multe variano, come possiamo vedere scorrendo i comunicati pubblicati dal Garante per la Privacy.
Forse il dato più significativo lo troviamo in una sanzione di giugno 2025. Qui il Garante per la Privacy ha multato Autostrade per l’Italia per 420.000 euro. Il caso è interessante, perché la multa riguarda una singola lavoratrice. L’istruttoria era partita da una segnalazione, in cui una dipendente di Autostrade aveva parlato dell’utilizzo “di contenuti estratti dal proprio profilo Facebook e da chat private su Messenger e WhatsApp per motivare i procedimenti disciplinari a proprio carico”.
