Banca profilava illecitamente i propri clienti analizzando i loro comportamenti online e controllando perfino quanto usavano la stampante per riprodurre gli estratti conto. Insospettiti da una comunicazione ricevuta dall’istituto bancario si erano rivolti all’autorità per la privacy. Non solo il monitoraggio avveniva senza il consenso degli interessati, ma le informazioni su tale trattamento di dati personali erano fornite tra le righe di una lettera di ben 28 pagine.
È accaduto in Germania, dove il garante della protezione dei dati della Bassa Sassonia ha inflitto una sanzione di 900.000 euro alla Hannoversche Volksbank per violazione del Gdpr. L’istituto finanziario aveva profilato i clienti attuali e precedenti senza il loro consenso per poter realizzare un “approccio pubblicitario più mirato”.
La vicenda era sorta nel 2020 quando i clienti della Volksbank che si erano abbonati a un servizio aggiuntivo a pagamento avevano ricevuto una notifica di una richiesta di dati personali, e questo aveva generato vari reclami al garante della Bassa Sassonia, che perciò aveva aperto un’indagine.
In linea di principio, anche se le clausole utilizzate dalla banca avrebbero consentito il trattamento delle informazioni personali dei clienti senza il loro consenso nei casi in cui esiste un “legittimo interesse“, secondo quanto ricorda il garante, il titolare del trattamento deve comunque fare preventivamente un attento bilanciamento degli interessi, tutelando i diritti e le libertà fondamentali delle persone, e ad ogni modo più volte le autorità per la protezione dei dati hanno ribadito che il “legittimo interesse” da solo non può essere utilizzato come valida base giuridica per profilazione a fini pubblicitari mediante l’analisi di grandi banche dati. Per questo l’autorità tedesca sostiene che la banca abbia violato l’art. 6.1 f) del Regolamento UE 2016/679.
L’autorità di controllo ha contestato che l’istituto bancario aveva analizzato dettagli anche minuziosi dei comportamenti degli utenti nel loro utilizzo dei servizi online e valutato, tra l’altro, anche il volume totale dei pagamenti effettuati negli app store, nonché l’importo totale dei bonifici nell’online banking rispetto alle visite presso la filiale, e perfino la frequenza di utilizzo delle stampanti per riprodurre i propri estratti conto. In tali attività di profilazione, la banca si era anche avvalsa di un fornitore di servizi esterno, attraverso il quale elaborava e confrontava i risultati dell’analisi per fornirli a un’agenzia di credito che li integrava con informazioni aggiuntive per arricchire la propria banca dati.
La banca si era giustificata sostenendo di svolgere tali attività con l’intento di identificare i clienti “con una maggiore propensione per i servizi digitali e utilizzare maggiormente i canali di comunicazione elettronica per rivolgersi a loro per scopi contrattuali o pubblicitari“. Se è pur vero che alla maggior parte dei clienti che venivano profilati erano state inviate in anticipo informazioni al riguardo insieme ad altri documenti, tuttavia questi non avrebbero potuto sostituire i consensi che sono necessari per profilare lecitamente gli interessati.
Riguardo le informazioni fornite agli interessati, l’istituto bancario aveva fatto riferimento a una lettera di 28 pagine inviata ai clienti in cui aveva inserito un paragrafo per spiegare la collaborazione con un’agenzia di credito nell’ambito del “miglioramento dei contatti con i clienti” e il diritto di recesso.
L’agenzia di credito e l’istituto finanziario avevano sostenuto che i processi di analisi erano stati eseguiti nell’interesse del cliente, ma l’autorità non è stata pienamente convinta, e questa argomentazione è stata accettata solo in misura limitata. Nel determinare provvisoriamente la sanzione, l’autorità ha comunque affermato di aver tenuto conto del fatto che la banca “si è dimostrata collaborativa durante tutto il processo”, e che essa non aveva poi riutilizzato i risultati delle profilazioni.
Ora la Hannoversche Volksbank potrebbe decidere anche di opporsi alla sanzione per vantare le proprie ragioni, ma al di là di come andrà a finire la vicenda, sta di fatto che il rapporto tra banca e cliente è basato sulla fiducia, e di norma quest’ultimo non si aspetterebbe di essere monitorato nei suoi comportamenti online senza aver dato il proprio consenso, a maggior ragione se i risultati della sua profilazione vengono sfruttati in modi di cui egli non è neanche pienamente consapevole, e di sicuro non saranno state proprio rassicuranti le giustificazioni ricevute dall’istituto bancario secondo cui egli sarebbe stato informato con qualche riga inserita nelle clausole di una lettera di 28 pagine.
Per tali ragioni, la banca dell’era digitale che oggi non opera in modo trasparente rispettando anche la normativa sulla protezione dei dati personali, quando è poi colta in fallo in situazioni del genere rischia solo di macchiarsi la reputazione e di assistere impotente ad una conseguente emorragia di clienti che andranno a cercare altrove maggiore rispetto della loro privacy.
Nicola Bernardi, presidente di Federprivacy – @Nicola_Bernardi