L’importanza della compliance organizzativa nella gestione dei dati personali
A luglio 2025 il Garante privacy* ha emesso un’ordinanza ingiunzione contro una banca, sanzionandola con € 100.000,00 per aver violato il diritto di accesso ai dati personali di un cliente, previsto dagli articoli 12 e 15 del GDPR (Regolamento UE 2016/679).
Questo caso rappresenta un monito, soprattutto per le imprese e i professionisti, sull’importanza di rispettare le tempistiche e le modalità previste dal GDPR nell’esercizio dei diritti degli interessati.
La vicenda: quando il diritto di accesso diventa strumentale alla tutela di altri diritti
Il 29 gennaio 2024, il cliente della banca è stato vittima di una truffa telefonica: durante una chiamata apparentemente proveniente dalla banca, è stato eseguito un bonifico non autorizzato di € 9.999,00 dal suo conto corrente.
Dopo aver sporto denuncia alle autorità competenti e presentato reclamo alla banca per ottenere il rimborso, il cliente ha richiesto l'accesso alle registrazioni telefoniche delle chiamate con il servizio clienti (art. 15 GDPR), ritenendole fondamentali per chiarire la dinamica della frode e dimostrare la propria estraneità all'operazione.
Questo caso evidenzia come il diritto di accesso ai dati personali non sia solo un diritto formale, ma uno strumento concreto e strumentale alla tutela di altri diritti fondamentali, in questo caso di natura patrimoniale.
Le violazioni accertate
La banca però:
- non ha risposto entro il termine massimo di un mese
- non ha fornito spiegazioni sul ritardo e sulle possibilità di ricorso
- ha inizialmente comunicato dati incompleti, rivelando solo successivamente tutte le registrazioni
Si è così configurata un’illecita omissione nel riscontro alla richiesta del cliente.
Le cause organizzative
La problematica è stata causata da una riorganizzazione interna alla banca che ha complicato il flusso di raccolta e di invio delle registrazioni telefoniche. In particolare, è emerso un problema strutturale:
1. La compartimentazione dei dati tra outsourcer:
- la banca si avvaleva di più outsourcer per la gestione del servizio clienti, ma ciascun outsourcer poteva accedere esclusivamente alle comunicazioni gestite dal proprio sistema, non a quelle degli altri outsourcer
- mancava un sistema centralizzato di verifica incrociata
- l'outsourcer interpellato si è limitato a rispondere di aver reperito una sola telefonata, senza richiedere evidenza delle ulteriori comunicazioni al team interno della banca deputato alla gestione delle richieste di recupero delle registrazioni
2. La modifica delle policy aziendali in corso: la banca aveva modificato le procedure interne, stabilendo che solo i dipendenti della Banca (e non più gli outsourcer) potessero gestire l'invio delle registrazioni telefoniche ai clienti.
La richiesta del cliente è arrivata proprio durante questa fase di transizione organizzativa. Per adeguarsi alla nuova policy mantenendo operativo il servizio in Italia, la banca ha dovuto creare nuove procedure, ma questo processo è stato completato solamente all'inizio del 2025, quando è arrivato il reclamo al Garante.
Questo caso sottolinea un principio fondamentale: la responsabilità resta sempre del titolare del trattamento (banca), anche quando il trattamento dei dati è affidato a responsabili esterni. Il titolare deve garantire che i responsabili del trattamento abbiano accesso completo ai dati necessari per adempiere alle richieste degli interessati e che esistano procedure di coordinamento efficaci.
I rimedi adottati dalla banca
La banca ha riconosciuto l’errore e ha implementato:
- nuovi protocolli di verifica incrociata tra outsourcer per le richieste relative a registrazioni telefoniche
- aggiornamenti nei flussi operativi con sistema di tracciamento delle richieste
- percorsi formativi specifici per il personale coinvolto
- nuove checklist di controllo per prevenire disguidi simili.
Queste azioni supportano il principio di accountability (responsabilizzazione) previsto dal GDPR, che impone ai titolari di trattamento di adottare misure adeguate e documentabili per garantire la protezione dei dati e il rispetto dei diritti degli interessati.
L’importanza del rispetto dei diritti previsti dal GDPR nelle PMI e studi professionali
Il provvedimento del Garante evidenzia come anche singoli casi di inadempienza possano portare a sanzioni significative. Per le imprese e i professionisti, è fondamentale curare:
- la tempestività e completezza nelle risposte alle richieste di accesso ai dati personali
- la trasparenza nel comunicare eventuali ritardi o motivi di rifiuto
- la corretta gestione dei flussi informativi, specialmente quando sono coinvolti fornitori esterni
- il coordinamento efficace tra tutti i soggetti che trattano dati per conto del titolare
Consigli pratici per garantire la compliance GDPR
- mappare i dati trattati e le responsabilità interne per ogni attività di trattamento
- definire procedure chiare per la gestione delle richieste di accesso
- occuparsi della formazione continua del personale
- monitorare i tempi di risposta alle richieste degli interessati
- adottare strumenti di controllo e audit per prevenire disguidi
Questo caso dimostra quanto sia cruciale per ogni organizzazione, anche per realtà di dimensioni contenute, rispettare i diritti degli interessati in materia di protezione dati personali. Il GDPR non è solo un obbligo normativo, ma un’opportunità per costruire fiducia, trasparenza e sicurezza nel rapporto con clienti e collaboratori.
Iscriviti alla nostra newsletter
Per ricevere novità e approfondimenti sul tema della conformità delle organizzazioni (aziende, studi professionali, associazioni, enti): contratti, privacy, regole del digitale, sostenibilità, modello 231.
