Il provvedimento con cui il Garante privacy ha comminato una sanzione di 100mila euro alla banca digitale BBVA ha ribadito che anche le conversazioni telefoniche tra cliente e servizio clienti costituiscono dati personali e devono quindi essere accessibili su richiesta dell’interessato.

Il caso trae origine dal reclamo presentato dal cliente nei confronti di Banco Bilbao Vizcaya Argentaria (BBVA), accusata di non aver dato riscontro all’istanza di accesso ai dati personali prevista dall’art. 15 GDPR.

L’uomo, vittima di una frode bancaria, aveva chiesto copia delle registrazioni delle telefonate intercorse con il servizio clienti utili per ricostruire la vicenda e sostenere la denuncia sporta alle autorità.

Solo dopo l’avvio dell’istruttoria da parte del Garante, la banca ha fornito le registrazioni mancanti, ammettendo un “mero errore umano interno” e scusandosi con il cliente. In un primo momento, infatti, l’istituto aveva comunicato l’esistenza di una sola chiamata – priva di interazioni vocali – per poi, a seguito di ulteriori verifiche, rintracciare e consegnare le restanti conversazioni richieste.

Le difese della società: BBVA spiega il ritardo nelle registrazioni

A seguito del reclamo del cliente, il Garante privacy ha avviato il procedimento sanzionatorio nei confronti di BBVA, ipotizzando possibili violazioni degli artt. 12 e 15 del GDPR.

Nelle memorie difensive la banca ha spiegato che il ritardo nell’invio delle registrazioni telefoniche richieste era dovuto a un errore interno e a una recente riorganizzazione dei processi: infatti solo i dipendenti della banca – e non più gli outsourcer del servizio clienti – potevano gestire i dati, rendendo necessario un processo ad hoc per evadere le richieste dei clienti.

BBVA ha precisato che l’errore iniziale, consistente nel fornire solo una delle conversazioni è stato rapidamente corretto, con l’invio completo delle registrazioni e la trasmissione sicura della password per il download dei file.

La banca ha inoltre sottolineato che si è trattato di un episodio isolato, riguardante un solo cliente e dati personali comuni, senza precedenti violazioni, e ha adottato misure correttive per prevenire futuri disguidi, aggiornando i flussi operativi, avviando percorsi formativi per i dipendenti e implementando un nuovo sistema di tracciamento e checklist per le richieste ex art. 15 GDPR.

Le violazioni rilevate dal Garante

Dall’esame delle dichiarazioni e della documentazione raccolta nel corso del procedimento, il Garante privacy ha accertato che BBVA, in qualità di titolare del trattamento, non ha rispettato i termini previsti dall’art. 12, par. 3 del GDPR nella risposta alla richiesta di accesso del cliente: le registrazioni telefoniche effettuate non sono state fornite entro un mese dalla richiesta, né il cliente è stato informato dei motivi del ritardo e della possibilità di proporre reclamo o ricorso giurisdizionale, come previsto dall’art. 12, par. 4.

Solo dopo la presentazione del reclamo all’Autorità e l’avvio del relativo procedimento, la banca ha effettivamente trasmesso le informazioni richieste ai sensi dell’art. 15 GDPR.

L’istruttoria ha inoltre richiamato le definizioni chiave di “dato personale” e “trattamento” contenute nell’art. 4 del GDPR, confermando che le registrazioni delle conversazioni telefoniche rientrano nel diritto di accesso, purché siano dati personali e nel rispetto dei diritti di terzi, come chiarito dalle Linee guida EDPB 01/2022 sui diritti degli interessati.

Trasparenza, controllo e responsabilità

Alla luce di quanto emerso dall’istruttoria, non si può ignorare che la condotta di BBVA, seppur caratterizzata da buona fede e da errori circoscritti a un singolo cliente, abbia costituito una violazione degli artt. 12 e 15 del GDPR.

Il ritardo nel fornire le registrazioni telefoniche richieste, inizialmente limitato a una conversazione e poi correttamente sanato, non esime la banca dalla responsabilità: ogni ritardo, per quanto marginale, nella gestione dei dati personali si traduce in una lesione dei diritti degli interessati e percepita dagli stessi come un ostacolo concreto all’esercizio dei propri diritti.

Il diritto di accesso, sancito dall’art. 15 del GDPR, permette a ogni interessato di ottenere conferma dell’esistenza di un trattamento dei propri dati personali e, in caso affermativo, di accedere a tutte le informazioni pertinenti.

Include non solo la copia dei dati trattati, ma anche dettagli sulle finalità del trattamento, le categorie di dati, i destinatari e la durata della conservazione. Le organizzazioni sono tenute a rispondere senza ingiustificato ritardo e comunque entro un mese, informando l’interessato di eventuali motivi di ritardo o ostacolo, e della possibilità di proporre reclamo o ricorso giurisdizionale.

Il caso BBVA dimostra quanto sia fondamentale rispettare questi termini: il ritardo nella fornitura delle registrazioni telefoniche ha comportato un procedimento sanzionatorio e una multa di 100.000 euro, evidenziando l’importanza di procedure interne solide, protocolli di verifica incrociata tra outsourcer e formazione dei dipendenti.

Il diritto di accesso non è assoluto: deve rispettare i diritti e le libertà di terzi, e può essere limitato in casi specifici. Inoltre, l’esercizio del diritto deve essere gratuito, salvo richieste manifestamente infondate o eccessive, che possono comportare contributi spese ragionevoli o rifiuto di evasione della richiesta.

In sintesi, il diritto di accesso rappresenta uno strumento fondamentale di trasparenza e di controllo dei propri dati personali che richiede dai titolari del trattamento un’organizzazione chiara e procedure efficaci per garantire risposte tempestive, complete e conformi al GDPR.