VEDI ANCHE Newsletter del 25 settembre 2025

[doc. web n. 10168555]

Provvedimento del 10 luglio 2025

Registro dei provvedimenti
n. 413 del 10 luglio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato il 6 novembre 2024 ai sensi dell’art. 77 del Regolamento dal Sig. XX nei confronti di Banco Bilbao Vizcaya Argentaria SA;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo nei confronti dell’istituto di credito e l’attività istruttoria.

Con il reclamo presentato a questa Autorità in data 6/11/2024 il Sig. XX, titolare di un conto corrente presso Banco Bilbao Vizcaya Argentaria SA (di seguito “BBVA” o “la Banca”), ha lamentato di non avere ottenuto idoneo riscontro all’istanza di accesso ai dati personali avanzata ai sensi dell’art. 15 del Regolamento.

In particolare, con la predetta istanza il reclamante, nel rappresentare di essere stato vittima di una frode per la quale è stata sporta denuncia alle autorità competenti, ha chiesto di avere accesso ai dati contenuti nelle registrazioni delle chiamate dallo stesso effettuate al servizio clienti della Banca “nella serata del 29.1.2024 tra le ore 20 e le ore 20.30 circa”.

A seguito dell’invito, formulato dall’Ufficio il 21/1/2025, a fornire osservazioni in ordine ai fatti oggetto di reclamo nonché ad aderire spontaneamente alle istanze formulate dal reclamante, BBVA, con le comunicazioni del 7/4/2025 (inviata al reclamante e contestualmente all’Autorità) e 10/4/2025, nel dichiarare di avere provveduto, “a seguito delle verifiche del caso”, ad inviare all’interessato le registrazioni telefoniche richieste, si è scusata “per il precedente disguido, dovuto a un mero errore umano interno”. In particolare la Banca ha rappresentato che:  

con comunicazione del 31/1/2025 (di cui ha allegato copia), è stato “in un primo momento” rappresentato al legale del reclamante che “nel corso della giornata del 29/1/2024 sarebbe stata oggetto di registrazione e conservazione presso i sistemi della Banca un’unica telefonata intercorsa con il suo assistito e proveniente dal numero di telefono validato dal cliente (+39348…), iniziata alle ore 20:58. Nel corso di tale telefonata, come risulta dalla registrazione allegata al presente riscontro, non vi è stata tuttavia alcuna interazione tra il cliente e il Servizio Clienti della Banca [“sono presenti soltanto rumori, non si sente la voce del cliente e la telefonata si conclude” v. nota 31/1/25]. Le veniva quindi richiesto se il suo assistito avesse chiamato il Servizio Clienti da altro numero, al fine di reperire le registrazioni delle ulteriori chiamate intercorse”;

“a fronte del suo riscontro, nel quale confermava che tutte le ulteriori interazioni del 29/1/2024 provenivano dal medesimo numero di telefono di cui sopra, la Banca svolgeva ulteriori verifiche interne, reperendo le registrazioni delle ulteriori chiamate intercorse, anch’esse allegate alla presente. La password necessaria per scaricare i file le sarà trasmessa con separata comunicazione per ragioni di sicurezza”.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori dell’Autorità.

Alla luce di quanto sopra, l’Ufficio, con nota del 22/4/2025, ha provveduto a notificare alla Banca l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice per la violazione degli artt. 12, par. 3 e 4 e 15 del Regolamento.

BBVA, in data 22/5/2025, ha fatto pervenire le proprie memorie difensive sulla base dell’art. 18 della legge n. 689/1981, con le quali, nel sottolineare come “nonostante il disguido occorso le registrazioni telefoniche di cui trattasi sono state trasferite al Cliente entro il termine di 20 giorni concesso da codesta Autorità”, ha precisato che.

“In data 29 gennaio 2024, nel corso di una telefonata ricevuta sul numero di cellulare del Cliente da un numero apparentemente proveniente da BBVA, è stato eseguito, dall’area personale del Cliente medesimo, un bonifico di € 9.999,00”; quindi “Il Cliente, dopo aver sporto denuncia, ha presentato un reclamo alla Banca chiedendo (i) la restituzione del bonifico suindicato, asserendo di essere stato vittima di una frode perpetrata da terzi malfattori, e, in un secondo momento, (ii) la registrazione delle conversazioni telefoniche tra il Cliente e il Servizio Clienti BBVA nella serata del 29 gennaio 2024. La Banca ha riscontrato negativamente tale reclamo, evidenziando che l’operazione disconosciuta risultava essere stata correttamente eseguita tramite Strong Customer Authentication senza aver riscontrato alcun malfunzionamento dei sistemi di sicurezza di BBVA né alcuna anomalia del sistema antifrode”;

“In ragione del riscontro negativo ricevuto, in data 6 novembre 2024, il Cliente ha agito, da un lato, innanzi all’Arbitro Bancario Finanziario e, dall’altro, innanzi a codesta Autorità, con ricorso nella specie notificato in data 21 gennaio 2025”;

nel merito del reclamo oggetto del presente procedimento, deve essere sottolineato che la banca, “in data 31 gennaio 2025, ha - in modo erroneo, seppur in buona fede - riferito di aver reperito la registrazione di un’unica conversazione telefonica intercorsa tra il Cliente e il Servizio Clienti BBVA nella giornata del 29 gennaio 2024, nella specie alle ore 20:58, priva tuttavia di alcuna interazione2”; successivamente, “in data 7 febbraio 2025, ha - correttamente - riferito di aver reperito (e contestualmente trasferito, unitamente alla registrazione di cui alla precedente comunicazione del 31 gennaio 2025) tutte le ulteriori interazioni del 29 gennaio 2024 tra il Cliente e il Servizio Clienti BBVA”.

l’errore della Banca (che non ha identificato da subito tutte le chiamate ricevute dall’interessato nella giornata del 29 gennaio 2024) è stato determinato dal fatto che, “per decisione della Casa Madre, ciascun outsourcer del Servizio Clienti può accedere esclusivamente alle comunicazioni con la clientela gestite dal medesimo outsourcer, non anche a quelle gestite dall’altro/dagli outsourcer, salvo richiedere evidenza di tutte le ulteriori comunicazioni a un team interno della Banca deputato alla gestione delle richieste di recupero delle registrazioni. L’outsourcer interpellato nel caso di specie non ha eseguito tale richiesta, limitandosi a rispondere di aver reperito a sistema un’unica telefonata, tra l’altro, come detto, priva di interazioni”:

quanto invece al “al ritardo maturato nell’evasione della richiesta del Cliente”, si evidenzia che “Nel gennaio 2024, la Casa Madre ha modificato il procedimento di invio delle registrazioni telefoniche ai clienti che ne facevano richiesta, prevedendo che il trattamento delle registrazioni potesse essere svolto esclusivamente dai dipendenti della Banca e non dagli outsourcer (nella specie, il Servizio Clienti), pur nominati responsabili del trattamento. Ciò ha comportato la necessità di richiedere e ottenere, per l’operatività in Italia della linea di business Retail Digital Banking di BBVA, una deroga a tale principio e la creazione di un processo ad hoc volto a consentire al Servizio Clienti di gestire l’invio delle registrazioni alla clientela. La soluzione di tale problematica è stata raggiunta solamente all’inizio del 2025, contestualmente alla ricezione del reclamo di cui trattasi da parte del Cliente”.

quanto agli elementi di cui all’art. 83, par. 2 del Regolamento, la Banca ha rappresentato, in particolare, che:

a) la violazione “è riconducibile a un errore materiale isolato, connesso alla modifica del processo di estrazione delle registrazioni telefoniche”, “ha riguardato un singolo interessato” ed “esclusivamente dati personali comuni”;

b) “la banca ha fornito tempestivamente i dati richiesti appena accertata l’effettiva disponibilità delle registrazioni, scusandosi formalmente con il Cliente” e provvedendo a “contattare direttamente il legale del Cliente per facilitare la consegna”;

c)  l’assenza di “precedenti provvedimenti correttivi nei confronti della banca in merito a violazioni simili”;

d) “In aggiunta al descritto completamento della revisione del processo di estrazione delle registrazioni, è stata avviata la revisione del processo per la gestione delle richieste ex art. 15 del RGPD, prevedendo un nuovo protocollo di verifica incrociata tra outsourcer per le richieste relative a registrazioni telefoniche. Inoltre, sono stati aggiornati i flussi operativi e attivati percorsi formativi per i dipendenti coinvolti nel processo in questione.

Si prevede, infine, un efficientamento del sistema di tracciamento delle richieste e una nuova checklist di controllo”

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori di cui all’art. 58, par. 2, del Regolamento.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che BBVA, in qualità di titolare del trattamento, non ha fornito riscontro alla richiesta di accesso, formulata dal reclamante, ai dati contenuti nelle registrazioni delle telefonate dallo stesso effettuate al servizio clienti nella giornata del 29/1/2024, entro il termine previsto dall’art. 12, par. 3 del Regolamento (“senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”); né ha provveduto a informare l’istante, entro il medesimo termine, dei motivi dell'inottemperanza nonché della possibilità di proporre reclamo a un'autorità di controllo o un ricorso giurisdizionale (art. 12, par. 4 del Regolamento).

In particolare, nel corso dell’istruttoria è stato accertato che il titolare del trattamento, solo a seguito della presentazione del reclamo all’Autorità e dell’avvio, da parte di quest’ultima, del relativo procedimento, ha aderito all’istanza di accesso avanzata dall’interessato ai sensi dell’art. 15 del Regolamento, comunicando allo stesso le informazioni richieste.

In proposito meritano di essere ricordate, da un lato, le definizioni di “dato personale” (“qualsiasi informazione riguardante una persona fisica identificata o identificabile”) e di “trattamento” (“qualsiasi operazioni o insieme di operazioni […] applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, […]”) di cui all’art. 4 del Regolamento, dall’altro, le “ Linee guida 01/2022 sui diritti degli interessati – Diritto di accesso” adottate dall’EDPB il 28/3/2023, secondo cui  “le registrazioni di conversazioni telefoniche (e la loro trascrizione) tra l’interessato che richiede l’accesso e il titolare del trattamento possono rientrare nell’alveo del diritto di accesso a condizione che costituiscano dati personali” e purché nel rispetto dei diritti e delle libertà altrui (Linee guida citate, par. 4.2.1, punti 105-106 e art. 15, par. 4, del Regolamento).

4. Conclusioni: dichiarazioni di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2 del Regolamento.

Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Risulta infatti accertato che la condotta posta in essere da BBVA con riferimento al tardivo riscontro all’istanza di accesso presentata dal reclamante, è illecita, nei termini su esposti, in relazione agli artt. 12, par. 3 e 4 e 15 del Regolamento.

Si prende comunque atto che la Banca ha provveduto alla messa a punto delle misure organizzative per la gestione delle istanze relative all’esercizio dei diritti ex artt. 15-22 del Regolamento, in particolare ultimando la revisione del processo di estrazione delle registrazioni telefoniche (nonché prevedendo un nuovo protocollo di verifica incrociata tra outsourcer per le istanze di accesso relative alle anzidette registrazioni).

Pertanto, il reclamo deve ritenersi fondato e l’Autorità, nell’esercizio dei poteri correttivi di cui all’art. 58, par. 2 del Regolamento, dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) del Regolamento).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. legge 24 novembre 1981 n. 689), in relazione al tardivo riscontro all’istanza di accesso ai dati personali avanzata dal reclamante.

La violazione, accertata nei termini di cui in motivazione, non può essere considerata "minore", tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (cons. 148 del Regolamento).

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) la rilevante natura della violazione, che ha riguardato le disposizioni relative all’esercizio dei diritti dell’interessato;

b) il grado di responsabilità del titolare che risulta attenuato in quanto lo stesso, non appena avuto contezza della violazione, ha provveduto a fornire all’interessato le registrazioni telefoniche richieste;

c) la collaborazione con l’Autorità nel corso del procedimento;

d) le misure apprestate dalla Banca al fine di garantire il tempestivo e adeguato riscontro alle istanze di esercizio dei diritti, tra cui, in particolare la revisione del processo di estrazione delle registrazioni (ivi compresa la previsione di un nuovo protocollo di verifica incrociata tra outsourcer per le richieste di accesso relative a registrazioni telefoniche);

e) l’esiguo numero di interessati coinvolti (uno);

f) l’assenza di precedenti violazioni per la medesima fattispecie a carico di BBVA.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1 del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla banca con riferimento al bilancio ordinario d’esercizio per l’anno 2022.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 100.000 (centomila) per la violazione degli artt. 12, par. 3 e 4 e 15 del Regolamento.

In tale quadro, anche in considerazione della tipologia delle violazioni accertate che hanno riguardato l’esercizio dei diritti dell’interessato, si ritiene che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante. Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Banco Bilbao Vizcaya Argentaria SA, c.f. 06862150155, in persona del legale rappresentante pro tempore, con sede legale in Milano, Corso Giacomo Matteotti, 10, 20212 Milano -, per la violazione degli artt. 12, par. 3 e 4 e 15 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento alla medesima Banca di pagare la somma di euro 100.000 (centomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

alla medesima Banca di pagare la predetta somma di euro 100.000,00 (centomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981.  

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito Internet del Garante;

ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del garante n. 1/2019, la pubblicazione del presente provvedimento sul sito Internet del Garante;

ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 10 luglio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE REGGENTE
Filippi