European Data Protection Board: sanzione da 100.000 euro a un istituto bancario per violazione del diritto di accesso

Il European Data Protection Board (EDPB) ha comminato una sanzione di 100.000 euro a Banco Bilbao Vizcaya Argentaria SA per non aver garantito il diritto di accesso nei tempi previsti dal GDPR.

La vicenda trae origine dalla richiesta di un cliente, vittima di una frode, che aveva domandato le registrazioni delle chiamate al servizio clienti per contestare un trasferimento di circa 10.000 euro e chiarire la dinamica dell’accaduto. A fronte dell’assenza di una risposta tempestiva, l’interessato ha presentato reclamo all’Autorità. Le registrazioni sono state fornite solo dopo l’apertura del procedimento, oltre il termine di 30 giorni fissato dalla normativa.

Nel corso dell’istruttoria, il Garante ha richiamato le Guidelines 01/2022 on data subject right of access dell’EDPB, che confermano che anche le conversazioni telefoniche tra clienti e istituti bancari costituiscono dati personali e devono quindi essere accessibili su richiesta, garantendo al contempo la tutela di eventuali terzi coinvolti.

Nella quantificazione della sanzione, l’Autorità ha considerato il volume d’affari della banca, la collaborazione prestata durante gli accertamenti e l’assenza di precedenti violazioni. La decisione ribadisce l’importanza della trasparenza e del rispetto dei diritti degli interessati nelle relazioni tra banche e clienti.

Approfondimenti:

• Diritto di accesso, il Garante privacy sanziona una banca per 100mila euro. Cliente può accedere ai propri dati contenuti nelle registrazioni degli ordini telefonici