TEST GDPR

Garante Privacy: sanzione da 100.000 euro a BBVA per violazione del diritto di accesso

Home » Garante Privacy: sanzione da 100.000 euro a BBVA per violazione del diritto di accesso

Garante Privacy: sanzione da 100.000 euro a BBVA per violazione del diritto di accesso

Il caso: la richiesta di accesso ai dati e il reclamo del cliente

Il Garante per la Protezione dei Dati Personali ha inflitto a BBVA una sanzione di 100.000 euro per non aver rispettato i termini previsti dal Regolamento (UE) 2016/679 (GDPR) in relazione a una richiesta di accesso ai dati personali (artt. 12 e 15).

Il caso nasce dal reclamo di un cliente che, dopo essere stato vittima di frode bancaria, aveva richiesto le registrazioni delle chiamate intercorse con il servizio clienti. La banca, a causa di procedure interne complesse e frammentate, ha fornito inizialmente un riscontro incompleto e solo successivamente, a seguito dell’intervento del Garante, ha trasmesso i dati richiesti.

Il profilo giuridico della violazione

Violazione degli artt. 12 e 15 GDPR

Il Garante ha rilevato la violazione degli:

  • art. 12, par. 3 GDPR, che impone al titolare di rispondere alle richieste degli interessati senza ingiustificato ritardo e comunque entro un mese;

  • art. 12, par. 4 GDPR, che obbliga a comunicare le ragioni dell’eventuale mancato riscontro entro lo stesso termine;

  • art. 15 GDPR, che sancisce il diritto di accesso ai dati personali

Le Linee guida EDPB sul diritto di accesso

Le registrazioni delle conversazioni telefoniche, come chiarito dalle Linee guida 01/2022 dell’EDPB sul diritto di accesso, costituiscono dati personali a tutti gli effetti quando riconducibili all’interessato. Pertanto, la banca era tenuta a consegnarle integralmente e tempestivamente.

La sanzione Pecuniaria

Il ritardo e l’incompletezza del riscontro hanno reso la condotta illecita, con conseguente applicazione della sanzione ex art. 83, par. 5 GDPR, che prevede le multe più gravi per violazioni dei diritti fondamentali degli interessati.

Quando i processi “sicuri” diventano rischiosi

Il provvedimento mette in luce un paradosso: la violazione non è dipesa da un intento doloso, ma da un processo interno creato per rafforzare la sicurezza.

BBVA aveva introdotto procedure più restrittive sull’estrazione delle registrazioni, demandandone la gestione solo a dipendenti interni e non agli outsourcer. Tuttavia, questa scelta, non accompagnata da una governance chiara e controlli incrociati, ha prodotto ritardi e fraintendimenti che hanno compromesso la compliance.

È un monito importante: la sicurezza e la compliance devono andare di pari passo. Processi pensati per “proteggere” i dati, se troppo complessi o mal coordinati, possono di fatto violare il GDPR.

Il ruolo chiave del DPO

In questo scenario, la figura del Data Protection Officer (DPO) si conferma determinante:

  • monitora il rispetto dei termini di legge nelle richieste ex artt. 15-22 GDPR;

  • valuta l’impatto delle modifiche organizzative sulle procedure di risposta agli interessati;

  • propone misure correttive per prevenire colli di bottiglia e ritardi;

  • agisce come punto di contatto tra azienda, outsourcer e Autorità di controllo.

Un DPO attivo e ben integrato avrebbe potuto intercettare le criticità derivanti dal nuovo processo di gestione delle registrazioni e prevenire la violazione.

Lezioni per le aziende

Il provvedimento del Garante insegna che:

  • il diritto di accesso è un diritto fondamentale e va garantito entro un mese, senza eccezioni;

  • le procedure interne devono essere snelle e testate per assicurare efficienza e tempestività;

  • il DPO non è un mero obbligo di legge, ma un alleato strategico per ridurre i rischi di sanzioni e tutelare la reputazione aziendale.

📌 Hai dubbi sulla compliance GDPR della tua azienda?

Il caso BBVA dimostra che anche processi pensati per aumentare la sicurezza possono trasformarsi in rischi e portare a sanzioni pesanti.

Con il supporto di un DPO esterno qualificato, puoi:
✅ Garantire il rispetto dei diritti degli interessati
✅ Monitorare l’efficacia dei processi interni
✅ Prevenire violazioni e ridurre il rischio di sanzioni
✅ Rafforzare la fiducia di clienti e stakeholder

👉 Contattaci oggi stesso per una consulenza GDPR su misura e scopri come possiamo aiutarti a trasformare la compliance in un vantaggio competitivo

👉 Fai il nostro test di autovalutazione per avere un’idea del livello della tua compliance

Ultimi articoli

Il modello nuovo dell’imperatore: la paper compliance

Introduzione: quando la compliance sfila nuda Avete presente la fiaba Il vestito nuovo dell’imperatore? Tutti vedono, nessuno osa dire. Vi ricorda qualcosa? A noi si. Procedure su procedure, documenti su documenti, flussi ridondanti e policy inutilizzate vengono...

Regolamento Chatcontrol e sorveglianza di massa

Regolamento Chatcontrol e sorveglianza di massa Il Reg. 2022/0155, ufficialmente CSAR (Child Sexual Abuse Regulation) Oggi, 14 ottobre 2025, si sarebbe dovuta tenere la votazione al Consiglio europeo sul Regolamento noto mediaticamente come Chatcontrol. Non è stato...

Dario Fumagalli

Dario Fumagalli

La protezione dei tuoi dati

Proteggi il tuo business, fai crescere il tuo futuro. Con le nostre soluzioni, la conformità diventa un’opportunità.

CONTATTACI