TEST GDPR

Garante Privacy: sanzione da 100.000 euro a BBVA per violazione del diritto di accesso

Home » Garante Privacy: sanzione da 100.000 euro a BBVA per violazione del diritto di accesso

Garante Privacy: sanzione da 100.000 euro a BBVA per violazione del diritto di accesso

Il caso: la richiesta di accesso ai dati e il reclamo del cliente

Il Garante per la Protezione dei Dati Personali ha inflitto a BBVA una sanzione di 100.000 euro per non aver rispettato i termini previsti dal Regolamento (UE) 2016/679 (GDPR) in relazione a una richiesta di accesso ai dati personali (artt. 12 e 15).

Il caso nasce dal reclamo di un cliente che, dopo essere stato vittima di frode bancaria, aveva richiesto le registrazioni delle chiamate intercorse con il servizio clienti. La banca, a causa di procedure interne complesse e frammentate, ha fornito inizialmente un riscontro incompleto e solo successivamente, a seguito dell’intervento del Garante, ha trasmesso i dati richiesti.

Il profilo giuridico della violazione

Violazione degli artt. 12 e 15 GDPR

Il Garante ha rilevato la violazione degli:

  • art. 12, par. 3 GDPR, che impone al titolare di rispondere alle richieste degli interessati senza ingiustificato ritardo e comunque entro un mese;

  • art. 12, par. 4 GDPR, che obbliga a comunicare le ragioni dell’eventuale mancato riscontro entro lo stesso termine;

  • art. 15 GDPR, che sancisce il diritto di accesso ai dati personali

Le Linee guida EDPB sul diritto di accesso

Le registrazioni delle conversazioni telefoniche, come chiarito dalle Linee guida 01/2022 dell’EDPB sul diritto di accesso, costituiscono dati personali a tutti gli effetti quando riconducibili all’interessato. Pertanto, la banca era tenuta a consegnarle integralmente e tempestivamente.

La sanzione Pecuniaria

Il ritardo e l’incompletezza del riscontro hanno reso la condotta illecita, con conseguente applicazione della sanzione ex art. 83, par. 5 GDPR, che prevede le multe più gravi per violazioni dei diritti fondamentali degli interessati.

Quando i processi “sicuri” diventano rischiosi

Il provvedimento mette in luce un paradosso: la violazione non è dipesa da un intento doloso, ma da un processo interno creato per rafforzare la sicurezza.

BBVA aveva introdotto procedure più restrittive sull’estrazione delle registrazioni, demandandone la gestione solo a dipendenti interni e non agli outsourcer. Tuttavia, questa scelta, non accompagnata da una governance chiara e controlli incrociati, ha prodotto ritardi e fraintendimenti che hanno compromesso la compliance.

È un monito importante: la sicurezza e la compliance devono andare di pari passo. Processi pensati per “proteggere” i dati, se troppo complessi o mal coordinati, possono di fatto violare il GDPR.

Il ruolo chiave del DPO

In questo scenario, la figura del Data Protection Officer (DPO) si conferma determinante:

  • monitora il rispetto dei termini di legge nelle richieste ex artt. 15-22 GDPR;

  • valuta l’impatto delle modifiche organizzative sulle procedure di risposta agli interessati;

  • propone misure correttive per prevenire colli di bottiglia e ritardi;

  • agisce come punto di contatto tra azienda, outsourcer e Autorità di controllo.

Un DPO attivo e ben integrato avrebbe potuto intercettare le criticità derivanti dal nuovo processo di gestione delle registrazioni e prevenire la violazione.

Lezioni per le aziende

Il provvedimento del Garante insegna che:

  • il diritto di accesso è un diritto fondamentale e va garantito entro un mese, senza eccezioni;

  • le procedure interne devono essere snelle e testate per assicurare efficienza e tempestività;

  • il DPO non è un mero obbligo di legge, ma un alleato strategico per ridurre i rischi di sanzioni e tutelare la reputazione aziendale.

📌 Hai dubbi sulla compliance GDPR della tua azienda?

Il caso BBVA dimostra che anche processi pensati per aumentare la sicurezza possono trasformarsi in rischi e portare a sanzioni pesanti.

Con il supporto di un DPO esterno qualificato, puoi:
✅ Garantire il rispetto dei diritti degli interessati
✅ Monitorare l’efficacia dei processi interni
✅ Prevenire violazioni e ridurre il rischio di sanzioni
✅ Rafforzare la fiducia di clienti e stakeholder

👉 Contattaci oggi stesso per una consulenza GDPR su misura e scopri come possiamo aiutarti a trasformare la compliance in un vantaggio competitivo

👉 Fai il nostro test di autovalutazione per avere un’idea del livello della tua compliance

Ultimi articoli

Privacy: la parità in azienda (PdR 125) alla prova del GDPR

Privacy: la parità in azienda (PdR 125) alla prova del GDPR Come funziona la parità in azienda (PdR 125) alla prova del GDPR? Molte aziende si stanno organizzando per adottare la Prassi di Riferimento 125 relativa alla parità e all'inclusione nei luoghi lavorativi, ma...

Privacy al Sugo n. 3: cosa rischia ora Phica.eu?

Nella nuova puntata (short) della nostra Rubrica "Privacy al Sugo", in cui commentiamo in linguaggio semplice e chiaro, ma si spera mai noioso (proprio come un piatto di pasta al sugo!)  provvedimenti o attualità riguardanti la privacy, ci occupiamo del caso del...

Dario Fumagalli

Dario Fumagalli

La protezione dei tuoi dati

Proteggi il tuo business, fai crescere il tuo futuro. Con le nostre soluzioni, la conformità diventa un’opportunità.

CONTATTACI