Con il provvedimento del 12 marzo 2026, il Garante per la protezione dei dati personali ha sanzionato Intesa Sanpaolo S.p.A. con una multa di 17.628.000 euro per violazione degli articoli 5, paragrafo 1, lettera a), 6, paragrafo 1, e 14 del GDPR. Al centro del caso l’operazione societaria con cui la Banca ha trasferito circa 2,4 milioni di clienti alla controllata Isybank S.p.A., banca digitale priva di sportelli fisici. Il provvedimento affronta questioni di rilievo generale — il confine tra perimetrazione aziendale e profilazione, i limiti del legittimo interesse, gli standard minimi di trasparenza — che vanno ben oltre il caso specifico e riguardano chiunque gestisca operazioni straordinarie coinvolgenti dati personali di larga scala.
La profilazione e la “perimetrazione”
L’Autorità ha rilevato che le “progressive estrazioni dai sistemi gestionali” di Intesa Sanpaolo — attraverso cui sono stati selezionati i clienti in base a età, familiarità con i canali digitali, giacenze finanziarie inferiori a centomila euro e assenza di prodotti di investimento — integrano per loro stessa natura un trattamento automatizzato (anche se la Banca sostiene che non vi sia stato l’uso di strumenti automatizzati). Il coinvolgimento di gruppi di lavoro umani nella definizione dei criteri non esclude, a parere del Garante, l’automazione nell’esecuzione delle estrazioni.
L’Autorità ha inoltre chiarito un principio di portata generale: la profilazione non richiede necessariamente una attività di marketing per essere tale. È profilazione qualsiasi trattamento automatizzato che valuti aspetti personali di una persona fisica per classificarla. La “propensione digitale” è esattamente uno di quegli aspetti.
Il trattamento di profilazione è uno, ma le basi giuridiche devono essere distinte.
Con riferimento al rapporto tra profilazione e comunicazione dei dati la Banca ha sostenuto che essa avesse quale base giuridica il legittimo interesse, applicabile alla comunicazione dei dati ai sensi dell’articolo 58 del Testo Unico Bancario. La Banca ha ritenuto che questa base giuridica coprisse anche la fase di profilazione preliminare.
L’Autorità ha operato su questo tema una distinzione netta, che costituisce il cuore del provvedimento: la profilazione è un trattamento autonomo, precedente e distinto rispetto alla comunicazione dei dati. Ciascun trattamento richiede una propria base giuridica, verificata separatamente. Il legittimo interesse invocato dalla Banca per la comunicazione non si estende automaticamente alla profilazione che la precede.
Il Garante, verificato il Legitimate Interest Assessment prodotto dalla Banca, ha trova che riporta solo affermazioni tautologiche, prive di una reale ponderazione tra gli interessi del titolare e i diritti degli interessati.
A proposito della valutazione del Garante pare essere inoltre elemento dirimente il fatto che solo 76.000 clienti (tra i 2,1 milioni di clienti individuati) hanno dato il consenso esplicito quando la campagna di contatto è stata effettuata su impulso dell’AGCM. Questo dato dimostra quanto le aspettative ragionevoli degli interessati fossero distanti dalle valutazioni della Banca.
Il silenzio-assenso nell’archivio dell’app
L’informativa relativa al trasferimento verso Isybank è stata inserita nella sezione archivio dell’area utente dell’app, senza notifica push, nel periodo estivo, confusa tra le notifiche ordinarie. Agli interessati è stato assegnato un termine per manifestare il dissenso: chi non ha risposto è stato considerato consenziente. Il Garante ha qualificato questo meccanismo come incompatibile con i principi di correttezza e trasparenza dell’articolo 5, paragrafo 1, lettera a), del GDPR, richiamando peraltro le stesse conclusioni cui era già giunto l’AGCM sul versante delle pratiche commerciali scorrette.
Le implicazioni pratiche
Il provvedimento consegna alle imprese almeno tre indicazioni operative.
Prima: ogni operazione di riorganizzazione societaria che richieda la selezione dei clienti sulla base di caratteristiche individuali è, in linea di principio, una profilazione e richiede una base giuridica specifica, distinta da quella applicabile al successivo trasferimento dei dati.
Seconda: il Legitimate Interest Assessment deve essere un documento analitico e circostanziato, non una formula di stile.
Terza: la trasparenza non si misura sull’esistenza formale dell’informativa, ma sulla sua effettiva accessibilità e comprensibilità nel contesto in cui viene resa.
