g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 12 marzo 2026 [10230412]

Provvedimento del 12 marzo 2026 [10230412]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE Comunicato stampa del 12 febbraio 2026

[doc. web n. 10230412]

Provvedimento del 12 marzo 2026

Registro dei provvedimenti
n. 163 del 12 marzo 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia componente e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “RGPD”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al RGPD (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTI i reclami presentati ai sensi dell’art. 77 del RGPD (UE) 2016/679 e le segnalazioni presentate ai sensi dell’art. 144 del Codice, con cui è stata lamentata la violazione della disciplina in materia di protezione dei dati personali da parte di Intesa San Paolo S.p.A.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del RGPD del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. I reclami e le segnalazioni pervenute

Sono pervenuti a questa Autorità cinque reclami, tre segnalazioni presentate direttamente dagli interessati, nonché una segnalazione da parte dell’Unione nazionale Consumatori -UNC, riferita a centinaia di consumatori che si sono rivolti all’Associazione mediante il sito internet istituzionale di quest’ultima o attraverso i social media.

Con tali istanze gli interessati, clienti di Intesa Sanpaolo S.p.A. (di seguito “ISP” o la Banca) hanno lamentato la presunta illegittimità dei trattamenti dei propri dati personali effettuati in relazione all’operazione di cessione a favore della controllata al 100% Isybank S.p.A. (di seguito “Isybank”).

In particolare, è stato rappresentato dagli interessati che ciò sarebbe stato “unilateralmente deciso dalla banca”, in assenza del loro consenso espresso e che sarebbero stati informati con avvisi dagli stessi ritenuti non chiari e inidonei, rispetto alla particolare rilevanza dell’operazione societaria posta in essere dalla Banca. La suddetta operazione sarebbe stata rivolta ai clienti cd. “prevalentemente digitali”.

L’Autorità, in ragione delle diverse istanze presentate, ha ritenuto di procedere alla riunione dei singoli procedimenti, al fine di effettuare un esame organico delle questioni ad essi sottese.  

2.  L’attività istruttoria svolta

L’Ufficio ha avviato una complessa e articolata attività istruttoria, mediante specifiche richieste di informazioni, ai sensi dell’art. 157 Codice, al fine di ottenere informazioni e documentazione utile in ordine all’operazione societaria posta in essere dalla Banca, con particolare riferimento ai profili di protezione dei dati personali sottesi.

Nello specifico, alle suddette richieste (inviate in data 16 novembre 2023, 1° febbraio 2024, 5 giugno 2024 e 23 luglio 2024), ISP ha fornito i relativi riscontri, in data 16 dicembre 2023, 16 febbraio, 25 giugno e 6 settembre 2024, rappresentando, in via preliminare, che l’operazione “si configura come una iniziativa strategica di carattere strutturale e organizzativa, ossia una cessione via conferimento di due rami di azienda con effetti giuridici traslativi, disciplinata dal codice civile (art. 2556 e ss.) nonché dalla normativa di settore e, segnatamente, dall’art. 58 TUB”.

In particolare, il perimetro dell’operazione societaria riguardava circa 2,4 milioni di clienti, rientranti nel segmento commerciale denominato “Clienti prevalentemente digitali”, dei quali 275 mila clienti, con rapporti conferiti il 16 ottobre 2023 nel c.d. "primo ramo" e circa 2,1 milioni di clienti di cui era previsto il conferimento in Isybank, il 18 marzo 2024.

In base alle informazioni fornite dalla Banca, i clienti interessati dall’operazione sono stati informati mediante specifiche comunicazioni riguardanti le caratteristiche del conferimento.

La Società, inoltre, ha:

a. evidenziato i criteri applicati per la individuazione dei “clienti prevalentemente digitali”, che sono stati:

- familiarità con i canali “digitali”, ovvero: avere effettuato nei dodici mesi precedenti la data di invio della comunicazione di conferimento e di modifica unilaterale dei contratti “esclusivamente operazioni dispositive mediante canali digitali o, comunque, un numero massimo di 10 operazioni dispositive effettuate in filiale (esclusi i prelievi e i versamenti all’ATM), accompagnate da un numero di operazioni dispositive sui canali digitali pari o superiore a quello delle operazioni effettuate in filiale;

- età anagrafica non superiore a 65 anni;

- assenza di prodotti di protezione o investimento in portafoglio (ad eccezione di CPI e polizze incendio);

- giacenze finanziarie inferiori a 100.000 euro;

- assenza di particolari situazioni quali sequestro o pignoramento, minore età e interdizione”;

b. indicato le categorie di dati oggetto di comunicazione, precisando che l’operazione societaria non prevedeva “il trattamento di dati appartenenti alle categorie particolari, di cui all’art. 9 del GDPR”;

c. descritto il contenuto delle informative rese agli interessati, ai sensi degli artt. 13 e 14 del RGPD, comunicate alla clientela attraverso avvisi che rinviavano allo specifico contenuto delle stesse reperibile sul sito internet della Banca, sull’App, oppure consultabile facendone richiesta presso le filiali di Intesa Sanpaolo. In particolare, l’informativa agli interessati relativa all’operazione di cessione del ramo di azienda a Isybank è stata fornita attraverso il servizio a distanza denominato “My key” che abilita l’utilizzo della App e del sito di Intesa Sanpaolo oppure, per i clienti che ne facevano richiesta, in formato cartaceo, attraverso l’invio della corrispondenza;

d. indicato, quale base giuridica del trattamento, il legittimo interesse, sulla base delle valutazioni effettuate per ciascuna fase dell’operazione.

In particolare, ISP ha precisato che:

- “l’operazione societaria di conferimento dei due rami d’azienda da Intesa Sanpaolo a Isybank è motivata dalla necessità di adeguarsi alle evoluzioni tecnologiche e organizzative già in atto”;

- la comunicazione di dati personali della clientela tra ISP e Isybank, entrambe autonomi Titolari del trattamento, risulta indispensabile alla corretta realizzazione dell’operazione societaria;

- il conferimento di rami di azienda costituisce una facoltà riconosciuta ex lege a favore delle imprese che, laddove esercitata, rappresenta un idoneo interesse legittimo dell’impresa medesima;

- “il favor che l’ordinamento riserva alle cessioni "in blocco" di rapporti giuridici in materia Bancaria dispiega effetti anche sul profilo accessorio della comunicazione dei Dati Personali che le medesime implicano. Stante la peculiare disciplina approntata dall’ordinamento all´art. 58 del TUB e attesa la natura dei dati trattati (di regola anagrafici o relativi a transazioni di natura economica), i diritti della clientela in perimetro in ordine al trattamento dei dati che la riguardano non risultano, nel caso di specie, prevalenti rispetto al legittimo interesse delle società coinvolte. Ciò, anche in ragione dell’immutata finalità del trattamento dei dati oggetto del conferimento”;

e. allegato il documento della valutazione di impatto, redatto ai sensi dell’art. 35 del RGPD, precisando di non essersi discostata, nel predisporlo, dal parere reso in merito dal Responsabile della protezione dei dati;

f. precisato di avere richiesto il consenso esplicito alla profilazione finalizzata “all’offerta di prodotti e servizi finanziari personalizzati per cluster di clientela”, mentre nell’ambito dell’operazione bancaria oggetto di doglianza non è stato richiesto alcun consenso, essendosi “limitata a individuare quel segmento di “clientela prevalentemente digitale” che costituisce componente logica e indefettibile dell’Operazione. Tale individuazione è avvenuta […] mediante estrazioni, basate su condizioni e criteri oggettivi e manifesti, determinati tempo per tempo da parte delle competenti funzioni aziendali, tramite gruppi di lavoro a tal fine costituiti. Con riguardo ai clienti da includere nei rami d’azienda da trasferire a Isybank, Intesa Sanpaolo non ha quindi effettuato nei loro confronti alcuna proposta commerciale relativamente a prodotti o servizi finanziari dalla stessa offerti, ma ha operato con l’obiettivo di definire il perimetro dei rami in questione”.

In questo senso, ISP ha puntualizzato che:

- la facoltà riconosciuta dall’art. 58 del d.lgs. 1° settembre 1993, n. 385 (di seguito, TUB) alle società creditizie “di procedere ad operazioni di cessione (anche mediante conferimento) di rami aziendali (inclusivi dei relativi rapporti contrattuali con la clientela) senza richiedere alcun preventivo consenso al contraente ceduto, verrebbe posta nel nulla qualora l’individuazione dei criteri necessari alla perimetrazione dei rami d’azienda oggetto di conferimento fosse subordinata al consenso previsto per il caso, ben diverso e qui non sussistente, della profilazione per finalità di marketing e commerciale”;

- la possibilità di ricorrere al legittimo interesse quale base giuridica “per i trattamenti sottesi all’individuazione della “clientela prevalentemente digitale” [è] ulteriormente rafforzat[a] dal fatto che l’individuazione della clientela oggetto dell’Operazione non si è basata su processi automatizzati e, a maggior ragione, su processi decisionali di cui all’art. 22 del RGPD”, l’identificazione della “clientela prevalentemente digitale” ha previsto l’applicazione di diversi criteri oggettivi “individuati ad esito di un percorso articolato, che ha coinvolto soggetti appartenenti ai diversi gruppi di lavoro della Banca: gruppi chiamati a identificare o, comunque, a esprimersi su processi, prodotti, criteri e modalità di migrazione, ciascuno per l’ambito di competenza […] L’operato umano ha rappresentato, in definitiva, l’elemento sostanziale per l’individuazione dei criteri di appartenenza alla categoria dei “clienti prevalentemente digitali”.

Ha, altresì, rappresentato che, con provvedimento n. 0088587 del 31 ottobre 2023, notificato il 2 novembre 2023 a Intesa Sanpaolo e Isybank, l’AGCM ha contestato, alle Banche coinvolte nell’operazione societaria in esame, alcune presunte violazioni delle norme sulle pratiche commerciali scorrette contenute nel d.lgs. 205/2006 (Codice del Consumo), prescrivendo con successivo provvedimento n. 30884 del 28 novembre 2023, gli adempimenti da porre in essere per adeguarsi alla suddetta normativa.

All’esito del procedimento istruttorio, AGCM, in data 4 giugno 2024, dopo aver verificato l’adozione delle misure di adeguamento prescritte “ha deliberato la chiusura del procedimento senza accertamento dell’infrazione nei confronti di Intesa Sanpaolo e di Isybank”, rendendo obbligatori gli impegni assunti dalle Banche nel corso dell’istruttoria “finalizzati alla risoluzione delle presunte violazioni ipotizzate dall’AGCM”.

3. L’avvio del procedimento.

L’Ufficio, sulla base degli elementi acquisiti in sede istruttoria, ha notificato a ISP, con nota prot. n. 281 del 3 gennaio 2025, l’atto di avvio del procedimento per l’adozione dei provvedimenti di cui agli artt. 58, par. 2, e 83 del RGPD, in conformità a quanto previsto dall’art. 166, comma 5, in relazione alla violazione dell’art. 5, par.1, lett. a), dell’art. 6, par. 1, lett. a) e dell’art. 14 del RGPD.

Con nota del 14 gennaio 2025, ISP ha chiesto una proroga per formulare i propri scritti difensivi ai sensi dell’art. 13, comma 3, del regolamento del Garante n. 1/2019 (concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante) che l’Ufficio ha concesso, fissando il termine al 04 marzo 2025.

ISP ha, pertanto, inviato i propri scritti difensivi il 3 marzo 2025, argomentando che:

a. il trattamento propedeutico all’operazione societaria non è qualificabile come profilazione, tenuto conto che “ISP si è infatti limitata a effettuare estrazioni di anagrafiche dal proprio database basate su criteri oggettivi definiti nell’ambito di un processo strutturato e supervisionato. La finalità non è mai stata quella di realizzare una profilazione del singolo interessato, men che mai tramite sistemi automatizzati, ma soltanto di determinare il perimetro di clientela potenzialmente interessata dall’Operazione. Inoltre, la determinazione del perimetro non è stata effettuata per perseguire finalità connesse alla promozione e offerta di nuovi prodotti o servizi e, in generale, per finalità di marketing nei confronti degli interessati. Inoltre ISP ha rappresentato “che gli elementi costitutivi della fattispecie della “profilazione” sono essenzialmente tre: il trattamento di dati personali; lo svolgimento di detto trattamento con sistemi automatizzati; l’obiettivo, sotteso al trattamento, di valutare aspetti personali relativi a una persona fisica.”

L’utilizzo di sistemi automatizzati rappresenta, pertanto, un requisito ineliminabile per qualificare un trattamento come “profilazione” ai sensi del RGPD, come peraltro confermato dalle Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione del Gruppo di lavoro Articolo 29 per la protezione dei dati (ora European Data Protection Board) che espressamente indicano come “la profilazione (debba) implicare una qualche forma di trattamento automatizzato”. Pertanto, “In assenza di trattamento automatizzato, la mera attività di classificazione di interessati in categorie, tanto più se finalizzata (come nel caso che ci occupa) a una migliore organizzazione dell’attività d’impresa, non può certamente qualificarsi come profilazione in senso giuridico: una diversa interpretazione frustrerebbe la possibilità da parte di un operatore economico di condurre analisi finalizzate a possibili evoluzioni del proprio modello di servizio, situazione ben diversa dalla profilazione vera e propria”.  

ISP, nell’identificazione della “clientela prevalentemente digitale” si è basata “su diversi criteri oggettivi individuati ad esito di un percorso articolato, che ha coinvolto soggetti appartenenti ai diversi gruppi di lavoro della Banca: gruppi chiamati a identificare o, comunque, a esprimersi su processi, prodotti, criteri e modalità di migrazione, ciascuno per l’ambito di competenza. In sintesi, tali gruppi di lavoro hanno effettuato numerosi affinamenti dei criteri per l’individuazione del perimetro di rapporti oggetto di trasferimento, frutto di progressive estrazioni dai sistemi gestionali di Intesa Sanpaolo”. Da ciò consegue che “l’attività di perimetrazione della clientela rilevante per finalità di gestione dell’Operazione – lungi dal costituire “profilazione” in senso giuridico – si è sostanziata in una mera classificazione della base clienti, condotta peraltro sulla base di criteri generali e oggettivi, oltre che senza l’ausilio di strumenti automatizzati, che costituisce una componente logica e indefettibile dell’Operazione stessa, e da essa inscindibile”;

b. i trattamenti relativi all’Operazione sono unitari e inscindibili in quanto non perseguono “finalità autonome tipiche delle attività di profilazione propriamente intese, quali il marketing diretto o indiretto”. In particolare, “sono occorse operazioni diverse che tuttavia configurano la stessa attività di trattamento. Infatti, le attività di delimitazione del perimetro della c.d. clientela prevalentemente digitale hanno rivestito carattere evidentemente preliminare, costituendo l’indefettibile antecedente logico e giuridico rispetto all’Operazione”;

c. in relazione all’assenza di violazione dell’art. 6, par. 1, lett. a) del GDPR, “qualora l’Autorità ritenesse comunque sussistenti attività di profilazione rispetto alle operazioni compiute da ISP per l’individuazione del perimetro di clientela rilevante per l’Operazione, le attività di trattamento in parola non hanno comunque integrato una violazione dell’art. 6, par. 1, lett. a), GDPR. Infatti, le operazioni di trattamento sarebbero comunque assistite da una valida base giuridica, altra rispetto al consenso dell’interessato, ossia il legittimo interesse del titolare del trattamento rispetto ad operazioni straordinarie quali quelle previste dall’art. 58 TUB”. Inoltre “La definizione della c.d. clientela prevalentemente digitale è avvenuta esclusivamente al fine di individuare i rapporti contrattuali e dunque i clienti da conferire nel trasferimento dei rami d’azienda e le operazioni di trattamento non hanno certo avuto quale scopo, esplicito od occulto, alcuna finalità di marketing o di natura pubblicitaria, che avrebbe – al contrario – imposto il requisito del consenso. É da considerare che se il consenso fosse ritenuta l’unica condizione di liceità del trattamento applicabile alle attività di asserita profilazione, gli interessati potrebbero facilmente ostacolare un percorso di trasformazione digitale e il connesso dipanarsi di attività imprenditoriali, oggetto peraltro di sollecitazioni da parte delle istituzioni competenti, potendo esercitare un potere dispositivo sui propri dati così ampio da frustrare, se non ipoteticamente di paralizzare, la realizzazione di operazioni societarie in tal senso orientate”.

Secondo il titolare, nel contestare “automaticamente la carenza di consenso degli interessati, l’Autorità pare escludere che il trattamento di dati per le pretese attività di profilazione possa ripetere la sua legittimità dalla stessa base giuridica a fondamento della comunicazione di dati personali, ossia il legittimo interesse. Base giuridica che, come la stessa Autorità ha evidenziato, non è certo incompatibile, in astratto, con eventuali attività di profilazione. Il fatto che la comunicazione (alla quale le pretese attività di profilazione erano prodromiche) dei dati dei contraenti ceduti si sia fondata sul legittimo interesse non impedisce a questa base giuridica di operare validamente, ancorché sulla base di un differente test di bilanciamento, con riferimento alle attività di trattamento (che l’Autorità ritiene autonome e distinte) volte a individuare la c.d. clientela prevalentemente digitale”.

A riguardo, ISP ha affermato che “proprio nel contesto specifico dell’Operazione il legittimo interesse del titolare si appalesa come la condizione di liceità più adatta alle peculiarità del caso. Non solo: sarebbe forzato ipotizzare che il contraente ceduto debba prestare il proprio consenso al solo scopo di essere “profilato” (ossia individuato come rientrante o no nel novero della c.d. clientela prevalentemente digitale), ben potendo invece i suoi dati essere trattati sulla base del legittimo interesse rispetto alla loro comunicazione ad altro soggetto imprenditoriale del quale egli diverrà un nuovo cliente. Ragionando a contrario, appare quantomeno contraddittorio che l’interessato possa mantenere un ostacolo al trattamento dei suoi dati personali non già in sede di migrazione ad altro ente del settore Bancario (ossia in sede di comunicazione dei suoi dati) bensì negando il proprio consenso alla presunta profilazione che a quel successivo trasferimento di dati è univocamente e funzionalmente collegata”;

d. In merito alla sussistenza e formalizzazione della valutazione di liceità, necessità e proporzionalità, ISP ha dichiarato che “Ferme restando le considerazioni già esposte supra, laddove non appare consequenziale la lamentata insoddisfacente esecuzione del Legitimate Interest Assessment e il contestuale addebito circa la mancata raccolta del consenso degli interessati, si deve in questa sede rappresentare come ISP abbia invero compiutamente valutato i criteri che presiedono all’utilizzo della base giuridica del legittimo interesse. Ciò che evidentemente, invece, ISP non ha potuto esplicitare è un apprezzamento specifico con riguardo alle attività di trattamento che l’Autorità ha qualificato come profilazione. È del tutto evidente che, ritenendo le attività di individuazione della c.d. clientela prevalentemente digitale meramente funzionali e prodromiche alla comunicazione dei dati dei contraenti ceduti, e dunque considerando tali attività di trattamento sostanzialmente unitarie, ISP non ha condotto una specifica valutazione dell’applicazione del legittimo interesse con esclusivo riguardo alle attività di asserita profilazione. Questo non significa, tuttavia, che ISP non abbia tenuto debitamente in conto e valutato l’impatto delle operazioni di trattamento in questione sui diritti e sulle libertà degli interessati, e dunque sulle loro aspettative, misurandone al tempo stesso altresì la legittimità e la necessità. In altri termini, ISP non ha potuto (e non avrebbe potuto altrimenti) esplicitare l’apprezzamento svolto sulle operazioni di trattamento ora qualificate dall’Autorità come attività di profilazione, per il semplice fatto che non ha individuato tali attività di trattamento quali un segmento autonomo e distinto rispetto ai trattamenti di dati per la loro comunicazione a Isybank. È pacifico che, non rappresentandosi tali attività alla stregua di una profilazione, ISP non avrebbe potuto logicamente compiere un separato Legitimate Interest Assessment. Nondimeno, ISP ha senz’altro valutato anche le operazioni ora qualificate come profilazione nell’ambito del Legitimate Interest Assessment svolto in relazione alle complessive attività di trattamento per la comunicazione dei dati dei contraenti ceduti a Isybank in occasione dell’Operazione e nella fase propedeutica a essa e immediatamente successiva.”

Al riguardo, ISP ha inoltre inteso rammentare di avere individuato insieme a Isybank “due diversi trattamenti di dati personali nell’ambito dell’Operazione. Da un lato, il conferimento di dati personali della clientela, dall’altro, la comunicazione di dati personali nella fase propedeutica all’Operazione e nel periodo immediatamente successivo alla stessa. Come si è argomentato supra, mentre il conferimento dei dati rappresenta una condizione indefettibile per il perfezionamento del trasferimento dei rapporti giuridici ceduti, e dunque dell’Operazione, la comunicazione di dati nella fase propedeutica presenta una caratterizzazione strumentale, essendo volta a facilitare le attività necessarie alla conclusione dell’operazione. È di tutta evidenza come, sottesa a entrambi i trattamenti, insista una preliminare e indefettibile attività di trattamento posta in essere da ISP allo scopo di delimitare il perimetro dei c.d. clienti prevalentemente digitali. Come si è già ricordato, ISP ha ritenuto tali trattamenti, ora asseritamente qualificati alla stregua di una profilazione dell’Autorità, impliciti nelle attività di trattamento consistenti nella comunicazione, essendo chiaramente e inequivocabilmente a ciò e a ciò solo diretti”;

e. la decisione di ISP di avviare il “progetto Isybank” nasce dall’esigenza di far fronte ai processi di digitalizzazione in atto nell’intero settore dei servizi bancari e di pagamento, sollecitata anche dalle stesse autorità di settore (Banca Centrale Europea, Banca d’Italia), ISP ha ritenuto di dar vita a una “Banca digitale” (Isybank), caratterizzata da un modello operativo senza filiali, e il successivo trasferimento a quest’ultima, ai sensi e per gli effetti dell’art. 58 TUB, di compendi aziendali comprendenti rapporti coerenti con il “modello digitale” della Banca conferitaria.

Le interlocuzioni con la Banca d’Italia che si sono svolte nel corso del 2023, “hanno avuto ad oggetto, e sono sfociate in affinamenti delle modalità di attuazione e comunicazione della Operazione, nel migliore interesse dei clienti coinvolti. Tali affinamenti, apprestati ab origine nei confronti dell’intera platea di consumatori interessati, sono stati ulteriormente rafforzati mediante le misure addizionali definite da ISP e Isybank nell’ambito del procedimento avviato il 31 ottobre 2023 dall’AGCM al fine di verificare se le modalità con cui l’Operazione era stata posta in essere fossero suscettibili di configurare talune violazioni delle norme sulle pratiche scorrette contenute nel D.lgs. 205/2006”.

Il procedimento curato da AGCM è consistito, in una prima fase (sub-procedimento), volto “a verificare la sussistenza dei presupposti per la sospensione della pratica contestata e sfociata nel provvedimento cautelare dell’AGCM del 28 novembre 2023”, all’esito del quale, le misure adottate da ISP e Isybank sono state considerate “pienamente ottemperanti al provvedimento medesimo” e nel procedimento principale che si è “concluso, il 4 giugno 2024, con un provvedimento di non accertamento dell’infrazione, avendo l’AGCM ritenuto superata ogni preoccupazione in ordine a possibili fattori di pregiudizio nei confronti dei consumatori interessati”.

Le menzionate misure addizionali ingiunte sono state:

- il “consenso espresso”, che le banche si sono impegnate ad acquisire dai clienti facenti parte del Ramo II in relazione al trasferimento a Isybank;

- il riconoscimento della possibilità, per i clienti interessati, di rivalutare il passaggio ad Isybank ove già realizzato.

Tali misure non hanno comunque modificato “la natura dell’operazione societaria (conferimento di ramo d’azienda ai sensi dell’art. 58 TUB.), che diventa efficace nei confronti dei clienti ceduti senza necessità di un loro consenso e che – come meglio si argomenterà infra – non presenta alcun elemento di contatto con il consenso dell’interessato evocato da questa Autorità, nell’ambito delle contestazioni formulate con il provvedimento del 3 gennaio u.s., quale possibile base giuridica delle operazioni di trattamento”.

4. Normativa e provvedimenti in materia di protezione dei dati personali.

4.1. Profilazione (art. 4 RGPD), processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione (art. 22 RGPD) e basi giuridiche con riguardo al legittimo interesse.

Il considerando 24 del RGPD recita che: (…) Per stabilire se un'attività di trattamento sia assimilabile al controllo del comportamento dell'interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l'eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali.

Ai sensi dell’art. 4 par. 4 del RGPD, per profilazione si intende: “qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica”.

Il considerando 71 prevede che: L'interessato dovrebbe avere il diritto di non essere sottoposto a una decisione, che possa includere una misura, che valuti aspetti personali che lo riguardano, che sia basata unicamente su un trattamento automatizzato e che produca effetti giuridici che lo riguardano o incida in modo analogo significativamente sulla sua persona, quali il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani. Tale trattamento comprende la «profilazione», che consiste in una forma di trattamento automatizzato dei dati personali che valuta aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato, ove ciò produca effetti giuridici che la riguardano o incida in modo analogo significativamente sulla sua persona.

Ai sensi dell’art. 22 del RGPD, rubricato “Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”, l'interessato ha il diritto di non essere sottoposto a una “decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

Tale diritto, ai sensi del paragrafo due del medesimo articolo 22, non si applica nel caso in cui la decisione:

− sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento;

− sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato;

− si basi sul consenso esplicito dell'interessato.

Secondo quanto previsto dal Capo III, lett. b., punto 6., delle Linee guida, nella versione adottata ed emendata dal Gruppo art. 29 in data 6 febbraio 2018, sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del RGPD: “la profilazione è consentita se è necessaria ai fini degli interessi legittimi perseguiti dal titolare del trattamento o da un terzo. Tuttavia, l’articolo 6, paragrafo 1, lettera f), non si applica automaticamente soltanto perché il titolare del trattamento o il terzo ha un legittimo interesse. Il titolare del trattamento deve procedere a una ponderazione per valutare se gli interessi o i diritti e le libertà fondamentali dell’interessato non prevalgano sui propri interessi. I seguenti aspetti sono particolarmente rilevanti:

il livello di dettaglio del profilo (un interessato profilato in un gruppo descritto in maniera ampia come “persone interessate alla letteratura inglese” o segmentato e mirato a livello granulare);

la completezza del profilo (il profilo descrive solo un aspetto minore dell’interessato oppure dipinge un quadro più completo);

l’impatto della profilazione (gli effetti sull’interessato);

le garanzie destinate ad assicurare la correttezza, la non discriminazione e l’esattezza nel processo di profilazione”.

Nonostante, astrattamente, alla profilazione possano applicarsi diverse basi giuridiche tra quelle previste dall’art. 6 del RGPD, si evidenzia che, per utilizzare il c.d. “legittimo interesse”, il titolare è tenuto ad effettuare il test di bilanciamento (cd. Legitimate Interest Assessment -LIA), ovvero una valutazione che bilanci l’interesse del titolare, da una parte, e gli impatti sui diritti e le libertà degli interessati, dall’altra.

Tale approccio è stato confermato all’interno delle “Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR” adottate in data 8 ottobre 2024. Appare dunque evidente, che il legittimo interesse non può essere invocato in maniera né automatica, né strumentale: esso richiede l’adozione di misure proporzionate e una documentazione rigorosa che giustifichi la scelta di questa base giuridica rispetto ad altre meno invasive nei confronti degli interessati (come il consenso esplicito).

In particolare, affinché il trattamento possa basarsi sull’ art. 6, par. 1), lett. f), del RGPD, devono essere contemporaneamente soddisfatte le seguenti tre condizioni cumulative:

- l'interesse perseguito deve essere “legittimo”;

- il trattamento deve soddisfare la condizione di “necessità”;

- il trattamento non deve essere in conflitto con i diritti e gli interessi delle persone i cui dati sono trattati, tenendo conto delle loro ragionevoli aspettative.

4.2. Comunicazione dei dati relativi alla clientela, in caso di operazioni di cessione.

Il Garante, con alcuni provvedimenti adottati nella vigenza dell’abrogata normativa in materia di protezione dei dati personali e, in particolare, con le “Linee guida per trattamenti dati relativi al rapporto Banca-clientela” (provv. n. 53 del 25 ottobre 2007 - pubbl. in G.U. n. 273 del 23 novembre 2007) -i cui principi e indicazioni risultano compatibili anche con il vigente quadro regolatorio-, ha affrontato il tema della base giuridica applicabile allo specifico trattamento della comunicazione dei dati relativi alla clientela, in occasione di operazioni societarie che, ai sensi dell’art.58 del Testo Unico Bancario (TUB), prevedono di regola il trasferimento dalla Banca cedente alla Banca cessionaria “dell’intero compendio di beni, rapporti giuridici attivi e passivi, oltre che dei rapporti contrattuali esistenti” costituenti un ramo di azienda”.

In tale ambito, è stato stabilito che, nelle suddette operazioni societarie, “la Banca cedente (titolare del trattamento) non provvede, di regola, ad acquisire il consenso degli interessati; deve pertanto verificarsi se sussista un altro fondamento per porre in essere la comunicazione. Come è noto, la cessione di innumerevoli rapporti attivi e passivi in corrispondenza del mutamento del centro di imputazione soggettiva dei medesimi (dalla Banca cedente a quella cessionaria) trova una disciplina apposita e articolata nell’art. 58 del […] Tub, della quale è necessario tener conto in ragione dei riflessi che la stessa può spiegare rispetto ai profili di protezione dei dati personali. Detta disciplina, infatti, introduce modalità atte ad agevolare, snellendone gli adempimenti, la cessione in blocco di rapporti giuridici, riducendone i costi e preservando in pari tempo i legittimi interessi dei soggetti coinvolti, a vario titolo, nella cessione. Il favor che l’ordinamento riserva alle cessioni “in blocco” di rapporti giuridici in materia Bancaria spiega effetti anche sul profilo accessorio della comunicazione dei dati personali che le medesime implicano. Stante la peculiare disciplina approntata dall’ordinamento all´art. 58 del Tub e attesa la natura dei dati trattati (di regola anagrafici o relativi a transazioni di natura economica), i diritti e il legittimo interesse dei soggetti ceduti in ordine al trattamento dei dati che li riguardano non risultano nel caso di specie prevalenti rispetto al legittimo interesse alla comunicazione della Banca cedente. Ciò, anche in ragione dell’´immutata finalità del trattamento dei dati oggetto della cessione. Deve quindi ritenersi integrata la fattispecie prevista nell´art. 24, comma 1, lett. g), del Codice sì che, per effetto del presente provvedimento, la comunicazione dei dati personali oggetto della cessione degli sportelli Bancari deve ora ritenersi lecita (per le sole finalità sopra menzionate), limitatamente ai dati diversi da quelli sensibili, anche in assenza del consenso degli interessati” (sottolineatura aggiunta).

4.3. I principi generali del trattamento e l’obbligo di informativa.

Il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati nell’art. 5, del RGPD, fra cui quelli di “liceità, correttezza e trasparenza” (art. 5, par. 1, lettere a) del RGPD).

In particolare, il principio di trasparenza si traduce nell’obbligo, da parte del titolare del trattamento, di fornire all’interessato tutte le informazioni inerenti al trattamento dei dati personali che lo riguardano, in modo accessibile e comprensibile, rendendolo edotto, nel momento i cui i dati personali sono ottenuti, anche delle finalità e delle modalità del trattamento e della base giuridica dello stesso, nonché di tutte le ulteriori informazioni necessarie per garantire che il trattamento sia corretto e trasparente nel rispetto di quanto previsto dagli artt. 13 e 14 del RGPD (v. anche cons. 39 del RGPD).

A norma del considerando 60 del RGPD: (…) “I principi di trattamento corretto e trasparente implicano che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità. Il titolare del trattamento dovrebbe fornire all’interessato eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati. Inoltre l'interessato dovrebbe essere informato dell'esistenza di una profilazione e delle conseguenze della stessa”.

Ai sensi dell’art. 14, par. 2 lett. g) del RGPD, l’interessato deve essere informato “dell'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato”.

4.4. L’accountability del titolare.

Ai sensi degli artt. 5. par. 2, 24 e 25 del RGPD, il principio di accountability pone in capo al titolare del trattamento la responsabilità generale di mettere in atto misure tecniche e organizzative adeguate a garantire ed essere in grado di dimostrare che il trattamento sia conforme al RGPD.

Il RGPD pone l’accento sulla “responsabilizzazione” di titolari e responsabili del trattamento nel decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel RGPD.

Il primo fra tali criteri è sintetizzato dall’espressione “data protection by default and by design” (art. 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del RGPD e tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.

Tale valutazione è da effettuarsi ex ante, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto previsto dall’art. 25, par. 1, del RGPD) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

Fondamentali, fra tali attività, sono quelle connesse al secondo criterio individuato nel RGPD, rispetto alla gestione degli obblighi dei titolari: ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatto negativo sulle libertà e i diritti degli interessati (cons. 75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (art. 35 del RGPD).

La valutazione d’impatto sulla protezione dei dati va effettuata “prima del trattamento” (art. 35, paragrafi 1 e 10, considerando 90 e 93). Ciò è coerente con i principi di protezione dei dati fin dalla progettazione per impostazione predefinita (art. 25 e considerando 78). La valutazione d’impatto va considerata come uno strumento atto a contribuire al processo decisionale in materia di trattamento dei dati.

Inoltre, il titolare del trattamento deve consultarsi con il responsabile della protezione dei dati (RPD), qualora ne sia designato uno (art. 35, paragrafo 2), e il parere ricevuto, così come le decisioni prese dal titolare del trattamento, devono essere documentate all'interno della valutazione d’impatto sulla protezione dei dati. Il responsabile della protezione dei dati deve, altresì, sorvegliare lo svolgimento della valutazione d’impatto sulla protezione dei dati (art. 39, par. 1, lettera c).

Secondo quanto previsto dalle Linee guida dell’EDPB in materia di valutazione d’impatto adottate il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017, “È necessario condurre una valutazione d’impatto qualora il trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35, paragrafi 1, 3, 4), che è particolarmente importante quando viene introdotta una nuova tecnologia che comporti un trattamento di dati.

Nei casi in cui non risulti chiaro se sia necessaria una valutazione d’impatto sulla protezione dei dati o meno, il WP29 raccomanda di effettuarla comunque, in quanto detta valutazione è uno strumento utile che assiste i titolari del trattamento a rispettare la legge in materia di protezione dei dati.

5. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese dalla Banca, nel corso del procedimento (della cui veridicità l’autore risponde ai sensi e per gli effetti di cui all’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), nonché della documentazione acquisita agli atti, si osserva quanto segue.

5.1. Base giuridica del trattamento.

Pur prendendo atto che la Banca ha svolto dapprima un’attività di perimetrazione dei clienti prevalentemente digitali, mediante l’individuazione di precisi criteri e impiegando, a tal fine, anche gruppi di lavoro per affinarli, risulta tuttavia comprovato che, successivamente, ha effettuato una ulteriore attività, consistente in “progressive estrazioni dai sistemi gestionali di Intesa Sanpaolo” dei clienti, persone fisiche, che rispondessero a un insieme di caratteristiche, previamente individuate, per trasferirli a un altro titolare del trattamento (la neocostituita Isybank), attività che configura pienamente una profilazione.

In particolare, attraverso una puntuale attività di analisi, sono state individuate le seguenti caratteristiche che ciascun cliente doveva possedere per essere trasferito a Isybank: tra le altre, l’età del cliente che, secondo il parametro scelto, non doveva superare i 65 anni, la familiarità con i canali digitali e le preferenze manifestate, dallo stesso, nell’utilizzo dei canali bancari digitali, nell’arco temporale di un anno, l’assenza di prodotti di investimento e giacenze finanziarie inferiori a un determinato importo.

In una fase successiva, la Banca ha provveduto a effettuare le operazioni di identificazione ed estrapolazione dei clienti, aventi dette caratteristiche, per poi procedere al loro trasferimento a Isybank.

Ciò ha sicuramente inciso giuridicamente sulla sfera personale degli interessati, avendo comportato il trasferimento dei rapporti, ad altro titolare, con conseguente modifica unilaterale delle condizioni contrattuali e dell’operatività del conto corrente, molto diverse da quelle originariamente stipulate con ISP.

Tali attività, per la loro stessa natura e in considerazione dell’elevato numero di soggetti (clienti di ISP) coinvolti nelle rilevazioni, sono avvenute mediante trattamenti effettuati con sistemi automatizzati.

Si evidenzia che l’attività di “perimetrazione” della base clienti effettuata in questo caso dalla Banca, che rappresenta solo la prima fase di un processo più complesso, differisce dalla perimetrazione effettuata nelle fattispecie esaminate in passato dall’Autorità, che hanno portato all’adozione di provvedimenti richiamati da ISP (provvedimento del 18 gennaio 2007, doc. web n.1392461 “Cessione in blocco e cartolarizzazione dei crediti”; provvedimento del 5 luglio 2012, doc. web. n. 1913790 “Esonero dall´obbligo di rendere l´informativa in forma individuale ai dipendenti ed ai clienti acquisiti attraverso la cessione di un ramo d´azienda) che, infatti, prescindevano da qualsiasi valutazione delle caratteristiche soggettive e dei comportamenti individuali dei clienti, i quali venivano ceduti o, in quanto facenti parte di un sportello o di una filiale che veniva soppressa (anche per effetto di specifiche vicende o operazioni societarie), oppure a seguito di operazioni di cartolarizzazione e conseguente cessione in blocco di rapporti di credito deteriorati, fattispecie, anche questa, che prescinde e non richiede una preliminare specifica individuazione di un profilo soggettivo ed individuale, come invece diversamente si è dato nel caso di specie.

Da tutto ciò consegue quindi che l’operazione posta in essere da ISP si è sviluppata attraverso diverse fasi e ha comportato distinti trattamenti tra loro separati, seppur coordinati.

Tanto premesso, si precisa che le indicazioni fornite dal Garante con il citato provvedimento n. 53 del 25 ottobre 2007, così come chiarito nel testo dello stesso, trovano applicazione esclusivamente alla comunicazione dei dati oggetto di trattamento dal cedente al cessionario e non anche alla eventuale preventiva profilazione della clientela (avvenuta, come detto, nel caso di specie), dal momento che, nei casi esaminati ai fini dell’adozione del provvedimento, l’individuazione dei clienti (c.d. perimetrazione) prescindeva del tutto dall'effettuazione di trattamenti automatizzati di dati personali per valutare determinati aspetti personali relativi alla persona fisica ( in questo caso la c.d. “propensione digitale”).

Si evidenzia, pertanto, che, nel caso di specie, la profilazione ha costituito un trattamento precedente, autonomo e distinto, rispetto alla comunicazione dei dati (della quale soltanto si è occupata l’Autorità al par. 3.6, lett. a) del provvedimento n. 53 del 25 ottobre 2007) e avrebbe dovuto essere effettuato sulla base di una propria specifica base giuridica, tra quelle previste dall’art. 6 del RGPD.

Al riguardo, occorre evidenziare che, in ragione della peculiare disciplina posta dall’art. 58 TUB, la base giuridica della comunicazione dei dati da ISP a Isybank, è da individuarsi, nel vigente quadro normativo, nell’art. 6, par. 1, lett. f) del RGPD (legittimo interesse), in linea con quanto già previsto dall’Autorità nel citato provvedimento del 2007, nel quale il bilanciamento tra gli interessi contrapposti è stato effettuato da quest’ultima ai sensi dell’art. 24 comma 1 lett. f) del Codice previgente, ma, si ribadisce, unicamente in relazione alla comunicazione dei dati dei clienti effettuata dalla banca cedente alla cessionaria.

Per quanto riguarda invece la base giuridica dell’ulteriore trattamento consistente nella profilazione, nell’evidenziare che, diversamente da quanto rappresentato dalla Banca, la profilazione, per essere considerata tale, non deve necessariamente essere finalizzata allo svolgimento di attività di marketing, si sottolinea che, per utilizzare il legittimo interesse, il titolare è tenuto a effettuare un test di bilanciamento (cd. Legitimate Interest Assessment “LIA”), ovvero una valutazione che bilanci l’interesse del titolare, da una parte, e gli impatti sui diritti e le libertà degli interessati, dall’altra.

Tale linea interpretativa, confermata all’interno delle “Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR” adottate in data 8 ottobre 2024”, prevede che il legittimo interesse non possa essere invocato in maniera automatica o strumentale, ma solo a seguito dell’adozione di misure opportune e di una documentazione che giustifichi adeguatamente la scelta di avvalersi di tale base giuridica.

Si ritiene, pertanto, che la base giuridica del legittimo interesse (astrattamente applicabile anche in caso di profilazione) non possa trovare applicazione nel caso di specie, non risultando infatti soddisfatte tutte le condizioni, prescritte dall’art. 6, par.1, lett. f) e richiamate anche dalla sentenza resa dalla Corte di giustizia, nella causa in C-252/21 del 4 luglio 2023 Meta Platforms Inc. e a. contro Bundeskartellamt, il cui paragrafo 106 recita: “Come già giudicato dalla Corte, detta disposizione prevede tre condizioni cumulative affinché i trattamenti di dati personali da essa considerati siano leciti, vale a dire, in primo luogo, il perseguimento di un legittimo interesse del titolare del trattamento o di terzi, in secondo luogo, la necessità del trattamento dei dati personali per la realizzazione del legittimo interesse perseguito e, in terzo luogo, la condizione che gli interessi o i diritti e le libertà fondamentali dell’interessato dalla tutela dei dati non prevalgano sul legittimo interesse del responsabile del trattamento o di terzi”. […]

Ai sensi del paragrafo 108: Per quanto riguarda, la condizione secondo cui gli interessi o i diritti e le libertà fondamentali dell’interessato non devono prevalere sul legittimo interesse del responsabile del trattamento o di terzi, la Corte ha già giudicato che ciò implica una ponderazione dei diritti e degli interessi contrapposti che dipende, in linea di principio, dalle circostanze del caso concreto”.

A tal proposito, si rileva infatti che, oltre alla condizione di necessità del trattamento, che non appare dimostrata dalla documentazione in atti, è, altresì, necessario considerare che il “Test di bilanciamento del legittimo interesse dei Titolari”, esibito dalla Banca, contiene solo una frase tautologica: “Per i titolari, tali trattamenti sono necessari per garantire il buon esito dell’operazione, minimizzando potenziali impatti negativi di natura economica nonché reputazionale in caso di problematiche di natura tecnica o di difficoltà operative da parte della clientela. Questi trattamenti di dati personali non paiono dispiegare effetti negativi sugli interessati, in quanto sono effettuati anche nell’interesse della clientela, per minimizzare potenziali disagi derivanti dal conferimento dei rapporti”.

Tale affermazione apodittica non comprova che sia stata effettuata una effettiva e compiuta ponderazione dei contrapposti interessi in gioco.

Inoltre, ai sensi del paragrafo 116 della sopra citata sentenza della Corte di giustizia: “Nell’ambito di siffatta ponderazione dei contrapposti diritti e interessi in gioco, vale a dire quelli del titolare del trattamento, da un lato, e quelli dell’interessato, dall’altro, si deve segnatamente tener conto, come rilevato al punto 112 della presente sentenza, delle ragionevoli aspettative dell’interessato, nonché della portata del trattamento in questione e dell’impatto di quest’ultimo su tale persona”.

Secondo la disciplina posta dal Regolamento, infatti, un trattamento è illecito, se l’interessato non può ragionevolmente prevederlo, sulla base del contesto e delle informazioni ricevute.

In questo senso, il considerando 41 del Regolamento infatti recita “Qualora il presente regolamento faccia riferimento a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l’adozione di un atto legislativo da parte di un parlamento, fatte salve le prescrizioni dell’ordinamento costituzionale dello Stato membro interessato. Tuttavia, tale base giuridica o misura legislativa dovrebbe essere chiara e precisa, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità della giurisprudenza della Corte di giustizia dell’Unione europea (la «Corte di giustizia») e della Corte europea dei diritti dell’uomo.”

In relazione alla valutazione delle ragionevoli aspettative degli interessati, il test di bilanciamento, esibito dalla Banca, si limita a riportare genericamente che “il trattamento rientra nelle ragionevoli aspettative dell’interessato in virtù della relazione Titolare e Interessato […]” (v. all.13 al riscontro ISP del 15 dicembre 2024), senza fornire però alcun elemento concreto che giustifichi tale affermazione.

Affermazione, quest’ultima, che appare in netto contrasto con la realtà dei fatti dimostrata dalle numerosissime segnalazioni e reclami pervenuti al Garante, a seguito dell’operazione, e dagli altrettanto numerosi reclami alla base del procedimento curato da AGCM.

La circostanza che non siano state tenute in debito conto le legittime aspettative degli interessati, trova inoltre evidente conferma anche nel risultato della campagna di contatto, per la cessione del II ramo d’azienda, effettuata, in ottemperanza al provvedimento dell’AGCM, dalla quale è risultato il passaggio da ISP a Isybank –previo esplicito consenso commerciale– di appena 76.000 clienti, a fronte degli originari 2,1 milioni di clienti, individuati da ISP quali “clienti prevalentemente digitali”.

Inoltre, come peraltro rilevato dal provvedimento dell’AGCM, “il passaggio al nuovo operatore bancario, come sopra sottolineato, ha comportato importanti modifiche delle condizioni di concreta fruizione del servizio bancario:

possibilità di interagire con il nuovo operatore bancario soltanto attraverso il proprio smartphone (con tutte le limitazioni di visualizzazioni e funzionalità ad esso connesse), non avendo Isybank sportelli fisici al quale rivolgersi in caso di necessità;

impossibilità di interagire con Isybank, almeno nella prima fase del servizio, tramite il browser del proprio personal computer come invece avveniva con Intesa Sanpaolo;

cambiamento dell’IBAN con i connessi disagi dovuti alla necessità di dover comunicare a terzi tale cambiamento;

mancanza di alcune funzionalità e servizi presenti in ISP e non presenti in Isybank (come ad esempio quelle relative alle carte virtuali per gli acquisti in internet e al libretto degli assegni)”.

Pertanto, diversamente da quanto prefigurato da ISP, si ritiene che, nel caso di specie, la base giuridica del legittimo interesse non sia stata applicata in conformità con il vigente quadro normativo (art. 6, par.1, lett. f) del RGPD) e che, pertanto, la sola base giuridica, applicabile in concreto alla profilazione degli interessati effettuata da ISP, fosse da rinvenirsi nel consenso informato degli interessati (art. 6, par. 1, lett. a) del RGPD). Dal momento che gli interessati non sono stati messi nelle condizioni di rilasciare il proprio consenso alla profilazione, si configura per l’effetto, la violazione dell’art. 6, par. 1, del RGPD.

5.2. Trasparenza e obbligo di informativa.

Il trattamento dei dati personali deve avvenire nel rispetto dei principi di “liceità, correttezza e trasparenza” (art. 5, par. 1, lett. a) del RGPD), con particolare riguardo al principio di trasparenza che consiste nel fornire all’interessato tutte le informazioni inerenti al trattamento dei dati personali che lo riguardano, in modo accessibile e comprensibile, nel rispetto di quanto previsto dagli artt. 13 e 14 del RGPD (v. anche cons. 39 e 60 del RGPD).

Le informative sul trattamento rese ai clienti dalla Banca in atti, avrebbero dunque dovuto costituire la principale misura in grado di garantire agli interessati di conoscere l’esistenza di un trattamento di profilazione finalizzato -come nel caso in esame- a individuare la clientela “prevalentemente digitale” oggetto dell’operazione societaria ed esserne consapevoli.

In particolare, l’informativa sul “Trattamento di dati personali nell’ambito dell’operazione societaria tra Intesa Sanpaolo S.p.A. e Isybank S.p.A.”, fornita ai clienti, non è invece risultata conforme al principio di trasparenza previsto dagli artt. 5, par. 1, lett. a) e 14 del RGPD.

Si osserva infatti che, nella suddetta informativa, sono stati genericamente riportati richiami alla profilazione solo per finalità di marketing diretto e indiretto, mentre non si rinviene alcun riferimento alla profilazione per le finalità connesse e strumentali all’operazione societaria oggetto dell’istruttoria, né è stata fornita alcuna informazione in ordine alla “logica utilizzata, nonché l’importanza e le conseguenze di tale trattamento per l’interessato” (art. 14, par. 2, lett. g) del RGPD).

Inoltre, il principio di trasparenza, se da un lato riguarda il contenuto stesso dell’informativa, dall’altro concerne anche le modalità con le quali le informazioni sono rese agli interessati.

In particolare, le modalità scelte dalla Banca rendere l’informativa relativa al trasferimento verso Isybank così come anche rilevato dal provvedimento dell’AGCM sopra già menzionato, sono avvenute “all’interno della sezione archivio dell’area utente dell’internet banking o della App di Intesa Sanpaolo senza alcuna particolare evidenza, in particolare né con notifica push né con avviso di messaggio, ed è stata inviata in un periodo dell’anno (a partire dal 28 giugno 2023), in gran parte coincidente con le ferie estive, nel quale l’attenzione degli utenti potrebbe risultare minore”.

Ai clienti è stato inoltre assegnato un termine entro il quale manifestare il proprio dissenso, applicando di fatto una forma di “silenzio-assenso”. Per molti interessati, la comunicazione è così pervenuta, tramite l’app di Intesa Sanpaolo, confusa tra le numerose altre notifiche ricevute quotidianamente sul proprio dispositivo.

In conseguenza della modalità utilizzata, gli interessati che si sono rivolti all’Autorità hanno lamentato di non aver notato e/o letto in tempo utile una comunicazione così rilevante e per questo non hanno potuto rifiutare il passaggio a Isybank, nei tempi previsti.

Ciò appare del tutto improprio e conseguenza dell'inadeguata valutazione delle conseguenze per i diritti e le libertà degli interessati, sopra già rilevate; un adeguato bilanciamento avrebbe infatti dovuto escludere l’inserimento di una comunicazione così rilevante tra i consueti avvisi che solitamente si ricevono e che spesso non vengono nemmeno letti dagli utenti.

Pertanto, per i motivi sopra esposti, risulta accertato che l’informativa resa ai clienti sul trattamento posto in essere per l’operazione societaria de quo è in violazione dei principi di liceità, correttezza e trasparenza ai sensi dell’art. 5 par.1, lett. a) del RGPD.

6. Conclusioni: accertamento delle violazioni e dichiarazione di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2, del RGPD.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento ai sensi dell’art. 166, comma 5 del Codice e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, già menzionato.

Risulta, quindi, accertata l’illiceità della condotta posta in essere da Intesa Sanpaolo S.p.A., nei termini suesposti, in relazione agli artt. 5, par.1, lett. a), 6, par. 1 e 14 del RGPD.

Preso atto della circostanza che l’operazione societaria si è conclusa e pertanto la condotta del titolare del trattamento ha esaurito i suoi effetti e tenuto anche conto degli impegni assunti dalla Banca nell’ambito del procedimento davanti all’AGCM, si ritiene che non ricorrano, allo stato degli atti, i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2 del RGPD, in relazione alla fattispecie esaminata.

Si rappresenta, inoltre, che ricorrono i presupposti di cui all’art. 17 del predetto regolamento n. 1/2019.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del RGPD; art. 166, comma 7, del Codice).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del RGPD e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4 e par. 5, del RGPD, mediante l’adozione di una ordinanza ingiunzione (art. 18. legge 24 novembre 1981 n. 689) in relazione al trattamento dei dati personali posto in essere da Intesa Sanpaolo S.p.A., di cui è stata accertata l’illiceità, nei termini sopra esposti.

La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, alla luce del combinato disposto del considerando 148 e dell’art. 83 del RGPD).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del RGPD laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5 del RGPD.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del RGPD, ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del RGPD), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

- la rilevanza della violazione (art. 83, par. 2, lett. a) del RGPD), in relazione alla natura (concernente l’inosservanza dei principi di liceità e trasparenza del trattamento), all'elevato numero degli interessati coinvolti (circa 2,4 milioni di soggetti suddivisi in due distinte cessioni di ramo di azienda), alle conseguenze che il trattamento illecito ha determinato nella sfera giuridica degli interessati e al fatto che, per l'inadeguatezza delle modalità informative utilizzate, il trattamento è risultato del tutto inaspettato per gli interessati. In favore del trasgressore, si è, invece, tenuto conto della natura non particolare dei dati personali oggetto di trattamento (art. 83, par. 2, lett. g) del RGPD);

- rispetto all’elemento soggettivo, si è tenuto conto del carattere colposo della violazione riconducibile a una erronea interpretazione del concetto di profilazione (art. 83, par. 2, lett. b) del RGPD);

-  la parziale adozione di misure volte ad attenuare il pregiudizio subito dagli interessati da parte del titolare del trattamento, ascrivibile all’erronea interpretazione del concetto di profilazione (art. 83, par. 2, lett. c) del RGPD);

- non risultano precedenti violazioni pertinenti commesse dalla Banca in qualità di titolare del trattamento (art. 83, par. 2, lett. e) del RGPD);

- si è tenuto conto della condotta tenuta dalla Banca che ha cooperato con l’Autorità (art. 83, par. 2, lett. f) del RGPD) nonché dell'ottemperanza agli impegni assunti davanti ad AGCM, con riferimento alla medesima vicenda, che hanno consentito di tenere conto della volontà degli interessati;

- la maniera in cui l’Autorità ha preso conoscenza delle violazioni ovvero le numerose istanze e segnalazioni pervenute dagli interessati (art. 83, paragrafo 2, lett. h) del RGPD.

Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del RGPD), le condizioni economiche del contravventore così come rilevate dal bilancio di esercizio per l’anno 2023 (comunicato dalla Banca, in allegato 4 alla email del 3 marzo 2025 con la quale ha depositato gli scritti difensivi).

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Intesa Sanpaolo S.p.A., la sanzione amministrativa del pagamento di una somma pari ad euro 17.628.000,00 (diciassette milioni e seicento ventotto mila euro).

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) del RGPD, l’illiceità del trattamento effettuato da Intesa Sanpaolo S.p.A., con sede legale in Piazza San Carlo 156, 10121 Torino, P.I. 11991500015, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par.1, lett. a), 6, par. 1, nonché 14 del RGPD.

ORDINA

A Intesa Sanpaolo, ai sensi dell’art. 58, par. 2, lett. i) del RGPD, di pagare la somma di euro 17.628.000,00 (diciassette milioni e seicento ventotto mila euro) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. i) del RGPD, alla medesima Banca, di pagare la somma di euro 17.628.000,00 (diciassette milioni e seicento ventotto mila euro) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge n. 689/1981. Si rappresenta che, ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito Internet del Garante;

ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del garante n. 1/2019, la pubblicazione del presente provvedimento sul sito Internet del Garante;

ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del RGPD, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta impugnazione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 12 marzo 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi

Scheda

Doc-Web
10230412
Data
12/03/26

Argomenti

Banche credito e finanza

Tipologie

Ordinanza ingiunzione o revoca Provvedimento correttivo e sanzionatorio

Documenti citati