Adempimenti | DPIA | Vulnerability Assessment | Servizio DPO | Normativa | News | Consulenti | Prezzi | Contattaci

  • Numero verde 800 62 89 74

Il Garante sanziona Intesa Sanpaolo per 17,6 milioni di euro: profilazione della clientela, legittimo interesse e trasparenza nell'operazione di cessione a Isybank


Categoria: Privacy

Hai un dubbio o un problema su questo argomento?

Scrivi alla nostra redazione giuridica e ricevi la tua risposta entro 5 giorni

Non condivideremo mai la tua email con nessuno.

Ho letto ed accetto i termini dell'informativa privacy.



Il contesto: l'operazione societaria e le istanze degli interessati

Con il provvedimento n. 163 del 12 marzo 2026 il Garante per la protezione dei dati personali ha concluso un procedimento di grande rilievo sistematico, irrogando a Intesa Sanpaolo S.p.A. (di seguito "ISP" o "la Banca") una sanzione amministrativa pecuniaria di euro 17.628.000,00 per la violazione degli artt. 5, par. 1, lett. a), 6, par. 1 e 14 del Regolamento (UE) 2016/679 (RGPD). Al centro della vicenda vi è il conferimento di due rami di azienda, comprendenti circa 2,4 milioni di clienti qualificati come "prevalentemente digitali", alla controllata al 100% Isybank S.p.A., neo-costituita banca digitale priva di sportelli fisici.

 

L'Autorità ha ricevuto cinque reclami ai sensi dell'art. 77 RGPD, tre segnalazioni dirette ai sensi dell'art. 144 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito "Codice"), nonché una segnalazione dell'Unione nazionale Consumatori (UNC) riferita a centinaia di consumatori. I reclamanti, clienti di ISP, lamentavano di essere stati trasferiti unilateralmente a un nuovo istituto bancario senza il proprio consenso espresso e attraverso comunicazioni da essi ritenute non chiare e inidonee rispetto alla rilevanza dell'operazione. L'Autorità ha proceduto alla riunione dei procedimenti per condurre un esame organico.

 

Sul piano del diritto bancario, l'operazione si configurava come un conferimento di rami di azienda ai sensi dell'art. 58 del Testo Unico Bancario (d.lgs. 1° settembre 1993, n. 385, TUB), disciplina che consente la cessione in blocco di rapporti giuridici senza necessità del preventivo consenso del contraente ceduto. Il primo ramo (circa 275.000 clienti) è stato conferito il 16 ottobre 2023; il secondo ramo (circa 2,1 milioni di clienti) era originariamente previsto per il 18 marzo 2024, poi oggetto di significative revisioni per effetto degli impegni assunti dinanzi all'AGCM.

 

L'attività istruttoria e la posizione difensiva della Banca

L'istruttoria si è sviluppata attraverso specifiche richieste di informazioni ai sensi dell'art. 157 del Codice (inviate il 16 novembre 2023, il 1° febbraio, il 5 giugno e il 23 luglio 2024), cui ISP ha fornito riscontri articolati, allegando tra l'altro: i criteri di individuazione della "clientela prevalentemente digitale", le informative rese ai clienti ai sensi degli artt. 13 e 14 RGPD, la DPIA redatta ex art. 35 RGPD e il Legitimate Interest Assessment (LIA) a fondamento della base giuridica del legittimo interesse.

Con atto di avvio del procedimento notificato il 3 gennaio 2025 (prot. n. 281), l'Ufficio ha contestato alla Banca la violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a) e 14 del RGPD. Negli scritti difensivi depositati il 3 marzo 2025, ISP ha articolato una difesa su tre assi principali.

 

Primo asse: assenza di profilazione.

  • La Banca ha sostenuto che le attività di individuazione della "clientela prevalentemente digitale" non integrino la fattispecie della profilazione, poiché:
  • (i) la profilazione richiederebbe necessariamente l'impiego di sistemi unicamente automatizzati, mentre l'identificazione della clientela avrebbe avuto carattere eminentemente umano, coinvolgendo gruppi di lavoro interni per l'affinamento progressivo dei criteri;
  • (ii) la finalità perseguita non era quella di valutare aspetti personali dei clienti, bensì di definire il perimetro di un'operazione societaria;
  • (iii) le attività di classificazione si sarebbero basate su "criteri oggettivi e manifesti", non integrando la nozione di profilazione ex art. 4, par. 4, RGPD.

 

Secondo asse: applicabilità del legittimo interesse come base giuridica unitaria.

Anche ammettendo in via subordinata l'esistenza di attività di profilazione, ISP ha sostenuto che esse trovassero copertura nella medesima base giuridica del legittimo interesse (art. 6, par. 1, lett. f) RGPD) già applicata alla comunicazione dei dati, in quanto trattamenti "unitari e inscindibili" rivolti alla realizzazione dell'operazione societaria. Il conferimento ex art. 58 TUB costituirebbe un idoneo interesse legittimo, e il bilanciamento con i diritti degli interessati risulterebbe comunque favorevole al titolare, attesa la natura non particolare dei dati trattati e l'immutata finalità del trattamento.

 

Terzo asse: applicabilità del provvedimento del Garante n. 53/2007.

ISP ha richiamato le "Linee guida per trattamenti dati relativi al rapporto Banca-clientela" (provv. n. 53 del 25 ottobre 2007), con cui l'Autorità aveva già ritenuto lecita, in assenza di consenso, la comunicazione dei dati in occasione di cessioni ex art. 58 TUB, sul presupposto del "favor" dell'ordinamento per tali operazioni in blocco. Tale riconoscimento si estenderebbe, secondo la Banca, anche all'attività prodromica di perimetrazione della clientela.

Parallelamente, nel corso del procedimento è stato richiamato il procedimento AGCM (avviato il 31 ottobre 2023 con provv. n. 0088587), che aveva accertato possibili violazioni delle pratiche commerciali scorrette ex d.lgs. 206/2005 (Codice del Consumo), e si era concluso il 4 giugno 2024 senza accertamento di infrazione, avendo ISP assunto impegni che includevano la raccolta del consenso espresso per i clienti del secondo ramo e il riconoscimento della facoltà di rivalutare il passaggio già avvenuto.

La nozione di profilazione tra art. 4, par. 4 RGPD e Linee guida WP251: la risposta del Garante alla difesa di ISP

Il nodo giuridico principale del procedimento attiene alla qualificazione delle attività svolte da ISP come profilazione ai sensi del RGPD. Il Garante ha respinto la tesi difensiva della Banca con un'argomentazione tecnicamente puntuale e ancorata alle fonti normative e interpretative europee.

Ai sensi dell'art. 4, par. 4, del RGPD, la profilazione è definita come "qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica".

Il Gruppo di lavoro Art. 29 ha analiticamente scomposto questa definizione nelle Linee guida WP251 (adottate il 3 ottobre 2017 e come modificate il 6 febbraio 2018, recepite dall'EDPB), individuando tre elementi costitutivi che devono coesistere:

  • (i) una forma di trattamento automatizzato;
  • (ii) effettuata su dati personali;
  • (iii) finalizzata a valutare aspetti personali di una persona fisica.

 

Il punto dirimente, e sul quale la difesa di ISP si è maggiormente concentrata, è il primo elemento. Le Linee guida WP251 chiariscono con precisione, e il Garante richiama questo passaggio, che l'art. 4, par. 4 RGPD fa riferimento a "qualsiasi forma di trattamento automatizzato" e non al trattamento "unicamente automatizzato" di cui all'art. 22, par. 1. Ne consegue che "la profilazione deve implicare una qualche forma di trattamento automatizzato, sebbene il coinvolgimento umano non comporti necessariamente l'esclusione dell'attività dalla definizione". La distinzione tra i due articoli è strutturale:

  • l'art. 4, par. 4 definisce la profilazione in senso ampio (applicabile a tutti e tre i livelli identificati dal WP251: profilazione generale, processo decisionale basato sulla profilazione, processo decisionale unicamente automatizzato);
  • l'art. 22, par. 1 introduce invece una disciplina specifica e più stringente per il solo processo decisionale unicamente automatizzato che produca effetti giuridici o incida in modo significativo sull'interessato. Il considerando 72 del RGPD conferma questa lettura sistematica, disponendo che "la profilazione è soggetta alle norme del presente regolamento che disciplinano il trattamento dei dati personali, quali le basi giuridiche del trattamento (articolo 6) o i principi di protezione dei dati (articolo 5)".

 

ISP aveva sostanzialmente sovrapposto le due fattispecie, richiamando, in modo improprio, la struttura dell'art. 22 per escludere l'applicabilità della stessa definizione di profilazione di cui all'art. 4, par. 4. Il Garante ha correttamente rettificato questa lettura: la presenza di intervento umano nella fase di ideazione dei criteri di selezione non esclude l'automatismo nella fase di esecuzione, ossia nell'estrapolazione dai sistemi informativi gestionali dei singoli clienti rispondenti a quei criteri. Estrapolazioni di milioni di nominativi sulla base di parametri predeterminati, età, comportamento d'uso dei canali digitali nel corso di un anno, entità delle giacenze, tipologia dei prodotti in portafoglio, sono, per loro stessa natura, operazioni automatizzate. Nessuna realtà bancaria di medie dimensioni, figuriamoci ISP, potrebbe effettuarle manualmente.

Il WP251 chiarisce altresì un ulteriore punto rilevante per la fattispecie: "La semplice classificazione di persone basata su caratteristiche note quali età, sesso e altezza non determina necessariamente una profilazione. Quest'ultima dipende infatti dalla finalità della classificazione." Tuttavia, nel caso in esame la classificazione dei clienti come "prevalentemente digitali" non era finalizzata a produrre statistiche aggregate, ma a identificare specifiche persone fisiche da trasferire a un altro titolare del trattamento, con conseguente modifica unilaterale delle loro condizioni contrattuali: la finalità era dunque quella di valutare aspetti personali, la "propensione digitale", la situazione economica (giacenze), l'età, il comportamento nell'utilizzo dei canali, per adottare una decisione che incideva sulla sfera giuridica individuale. Tutti e tre gli elementi costitutivi della profilazione erano soddisfatti.

 

Ulteriore e decisiva è la distinzione tra il caso in esame e i precedenti richiamati da ISP a propria discolpa (provvedimento Garante del 18 gennaio 2007, doc. web n. 1392461, "Cessione in blocco e cartolarizzazione dei crediti"; provvedimento del 5 luglio 2012, doc. web n. 1913790, "Esonero dall'obbligo di rendere l'informativa in forma individuale ai dipendenti ed ai clienti acquisiti attraverso la cessione di un ramo d'azienda"). In quelle fattispecie, la "perimetrazione" della clientela ceduta prescindeva da qualsiasi valutazione delle caratteristiche soggettive e comportamentali individuali: i clienti ceduti lo erano in quanto titolari di rapporti afferenti a una filiale soppressa, o in quanto creditori in portafogli oggetto di cartolarizzazione, criteri oggettivi di appartenenza a un compendio, non criteri valutativi del profilo personale. Nel caso di Isybank, al contrario, era la propensione individuale verso i canali digitali, un aspetto del comportamento dell'interessato misurato nel tempo, a determinare l'appartenenza al perimetro ceduto.

Il Garante ha infine affermato un principio di portata generale destinato a riverberare i propri effetti sull'interpretazione futura: la profilazione non deve essere finalizzata al marketing per integrare la fattispecie dell'art. 4, par. 4 RGPD. La Banca aveva sostenuto il contrario, ma la definizione normativa non introduce alcuna limitazione di scopo: essa copre qualsiasi finalità, compresi gli obiettivi di riorganizzazione aziendale o di gestione dell'operatività.

La frammentazione dei trattamenti: profilazione e comunicazione dei dati come fasi giuridicamente distinte

L'Autorità ha stabilito che l'operazione ISP-Isybank si è sviluppata attraverso fasi di trattamento distinte e separabili sul piano giuridico, ciascuna delle quali richiede una propria autonoma base giuridica ai sensi dell'art. 6, par. 1, RGPD: in primo luogo la profilazione della clientela (classificazione automatizzata degli interessati in base ai criteri di "propensione digitale"); in secondo luogo la comunicazione dei dati da ISP a Isybank in esecuzione del conferimento.

 

Il provvedimento del Garante n. 53 del 25 ottobre 2007 aveva affrontato esclusivamente la seconda fase, stabilendo, sulla base del previgente art. 24, comma 1, lett. f) del Codice, corrispondente nell'assetto attuale all'art. 6, par. 1, lett. f) RGPD, che il legittimo interesse del cedente prevaleva, in quel contesto, sugli interessi degli interessati ceduti, in ragione della peculiare disciplina dell'art. 58 TUB e dell'immutata finalità del trattamento. Quel bilanciamento era però riferito a fattispecie nelle quali la perimetrazione prescindeva interamente dalla valutazione automatizzata di caratteristiche personali: la cessione di una filiale o di un portafoglio di crediti deteriorati non richiede alcuna profilazione preliminare. Il Garante nel provvedimento del 2026 ribadisce con precisione: "le indicazioni fornite dal Garante con il citato provvedimento n. 53 del 25 ottobre 2007 trovano applicazione esclusivamente alla comunicazione dei dati oggetto di trattamento dal cedente al cessionario e non anche alla eventuale preventiva profilazione della clientela."

 

Per quanto riguarda la base giuridica della comunicazione dei dati, il Garante conferma che, nel vigente quadro normativo, essa è correttamente identificabile nell'art. 6, par. 1, lett. f) RGPD (legittimo interesse), in continuità con il provvedimento del 2007 e in considerazione della disciplina speciale dell'art. 58 TUB. Su questo punto ISP era nel giusto: il "favor" riservato dall'ordinamento bancario alle cessioni in blocco costituisce un idoneo interesse legittimo che, per la sola fase di comunicazione, supera il bilanciamento con gli interessi degli interessati, purché i dati trattati non appartengano a categorie particolari ex art. 9 RGPD.

Il problema, e qui si concentra il cuore del provvedimento, è che ISP ha preteso di ricondurre l'intera operazione, inclusa la profilazione preventiva, sotto quell'unica base giuridica, senza condurre la distinta analisi richiesta dalla specificità e dall'autonomia di quella fase di trattamento.

La base giuridica della profilazione: perché il legittimo interesse non è applicabile nel caso concreto

La struttura tripartita delle condizioni cumulative

Diverso, e assai più articolato, è il ragionamento del Garante con riguardo alla profilazione. Il punto di partenza è un riconoscimento che merita di essere sottolineato perché spesso frainteso nella prassi: il legittimo interesse ai sensi dell'art. 6, par. 1, lett. f) RGPD è astrattamente una base giuridica compatibile anche con attività di profilazione. Le Linee guida WP251 lo riconoscono espressamente al Capo III, lett. B, punto 6, affermando che "la profilazione è consentita se è necessaria ai fini degli interessi legittimi perseguiti dal titolare del trattamento o da un terzo." Anche le Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR, adottate dall'EDPB l'8 ottobre 2024, confermano questa lettura. Il problema non è quindi strutturale, non esiste alcun divieto categorico di profilazione fondata sul legittimo interesse, ma è di applicazione nel caso concreto: il legittimo interesse non è una base giuridica che si auto-giustifica per il solo fatto di essere invocata. Come precisano le stesse Guidelines 1/2024, esso "non può essere invocato in maniera né automatica, né strumentale", ma solo a seguito di misure proporzionate e di documentazione rigorosa che giustifichi la scelta di questa base giuridica rispetto ad altre. Il considerando 47 del RGPD indica del resto che "l'esistenza di un interesse legittimo richiede un'attenta valutazione".

 

Il suo utilizzo legittimo è subordinato alla verifica rigorosa, documentata e condotta ex ante, di tre condizioni cumulative, ciascuna necessaria, nessuna da sola sufficiente, la cui struttura è stata sistematicamente elaborata dalla giurisprudenza della Corte di giustizia e dall'interpretazione dell'EDPB. La sentenza della Corte di giustizia dell'Unione europea del 4 luglio 2023, causa C-252/21, Meta Platforms Inc. e a. contro Bundeskartellamt, richiamata espressamente dal provvedimento, ne offre la formulazione più recente e autorevole: al paragrafo 106 la Corte enuncia le tre condizioni cumulative (interesse legittimo, necessità del trattamento, assenza di prevalenza dei diritti dell'interessato); al paragrafo 108 precisa che il bilanciamento tra l'interesse del titolare e i diritti degli interessati "dipende, in linea di principio, dalle circostanze del caso concreto".

Prima condizione: l'esistenza di un legittimo interesse

Il titolare del trattamento, o un terzo, deve perseguire un interesse che sia genuino, reale e sufficientemente determinato, non ipotetico o speculativo. Come chiariscono le Linee guida EDPB sulla videosorveglianza (Guidelines 3/2019), "l'interesse legittimo deve avere reale consistenza e deve essere un problema reale." Deve trattarsi di interessi "legali, economici o non materiali" e non di mere aspirazioni.

Nel caso di specie, il Garante non ha contestato che ISP avesse un interesse legittimo alla realizzazione dell'operazione societaria: la riorganizzazione aziendale mediante il conferimento di rami d'azienda a una "banca digitale" costituisce, in linea di principio, una finalità imprenditoriale lecita, sollecitata anche dalle autorità di settore (Banca Centrale Europea e Banca d'Italia). La prima condizione era, astrattamente, soddisfatta. L'esame del Garante si è però concentrato sulle condizioni seconda e terza, dove le carenze della condotta di ISP sono risultate decisive.

Seconda condizione: la necessità del trattamento

Il trattamento dei dati deve essere necessario per il conseguimento di quell'interesse: non semplicemente utile, conveniente o funzionale, ma necessario nel senso che non esistano mezzi alternativi meno invasivi per raggiungere il medesimo risultato. Questo standard è stato elaborato in modo sistematico dall'EDPB nelle Guidelines 8/2020 sul targeting degli utenti di social media, ove si legge che "il requisito della necessarietà è particolarmente rilevante nel contesto dell'applicazione dell'articolo 6, paragrafo 1, lettera f), al fine di garantire che il trattamento dei dati basato su legittimi interessi non comporti un'interpretazione indebitamente ampia della necessità di trattare i dati. Come negli altri casi, ciò significa che occorre valutare se esistano altri mezzi meno invasivi per conseguire lo stesso obiettivo."

Il Garante ha rilevato che la documentazione prodotta da ISP non dimostra l'effettiva necessità della profilazione automatizzata nella dimensione in cui è stata condotta. Il LIA esibito recava soltanto l'affermazione apodittica che i trattamenti erano "necessari per garantire il buon esito dell'operazione, minimizzando potenziali impatti negativi di natura economica nonché reputazionale". Non veniva indicato perché quella specifica tecnica di classificazione automatizzata per 2,4 milioni di soggetti, basata su parametri comportamentali misurati nel tempo, fosse l'unica percorribile per definire il perimetro di cessione, né veniva argomentato perché non fossero state considerate modalità meno invasive.

Terza condizione: il bilanciamento con i diritti degli interessati e le ragionevoli aspettative

Questa è la condizione che, nel caso concreto, rivela in modo più eclatante l'inadeguatezza dell'approccio adottato. Il bilanciamento non può essere condotto in astratto né per categorie: la Corte di giustizia al paragrafo 108 della sentenza Meta chiarisce che esso "dipende, in linea di principio, dalle circostanze del caso concreto" e impone di tenere conto, come indicato al paragrafo 112 della stessa sentenza, "delle ragionevoli aspettative dell'interessato, nonché della portata del trattamento in questione e dell'impatto di quest'ultimo su tale persona."

Le Linee guida WP251 specificano i fattori rilevanti per il bilanciamento in caso di profilazione: il livello di dettaglio del profilo (granulare o per categorie ampie); la completezza del profilo (se descrive aspetti minori o un quadro articolato della persona); l'impatto della profilazione sugli interessati; le garanzie predisposte per correttezza e non discriminazione. Il profilo costruito da ISP era granulare su diversi assi (età precisa, comportamento d'uso su base annua, entità esatta delle giacenze, composizione del portafoglio prodotti), descriveva aspetti economici e comportamentali dell'interessato, e produceva un impatto diretto e significativo sulla sfera giuridica: cambiamento dell'istituto bancario, dell'IBAN, delle modalità di accesso ai servizi, dell'operatività del conto.

 

Il concetto di ragionevole aspettativa dell'interessato, richiamato dal considerando 47 del RGPD e sistematicamente elaborato dalle Guidelines EDPB sulla videosorveglianza (3/2019), non deve basarsi sulle aspettative soggettive dell'interessato, ma su un criterio oggettivo: se un osservatore terzo e imparziale, posto nella stessa posizione, avrebbe potuto ragionevolmente attendersi quel trattamento nel contesto specifico. Le Linee guida EDPB precisano che "il criterio decisivo deve essere valutare se potrebbe ragionevolmente esistere una finalità ulteriore nell'essere soggetto" a quel trattamento. Il considerando 41 del RGPD aggiunge che la base giuridica o misura legislativa applicata deve essere tale che "la sua applicazione [sia] prevedibile per le persone che vi sono sottoposte".

Un cliente bancario che ha instaurato un rapporto di conto corrente con ISP, usando prevalentemente i canali digitali, può ragionevolmente attendersi che i propri dati siano trattati per la gestione del contratto, per adempimenti normativi, per finalità di sicurezza. Non può ragionevolmente attendersi, e questo è il cuore del ragionamento del Garante, di essere profilato in modo automatizzato sulla base delle proprie abitudini di utilizzo misurate nel corso di un anno, dell'entità delle proprie giacenze, della propria età e della composizione del proprio portafoglio prodotti, allo scopo di essere trasferito senza il proprio consenso a un istituto bancario completamente diverso, privo di filiali fisiche, con un modello operativo radicalmente mutato rispetto a quello originariamente concordato.

Il LIA di ISP aveva affermato che il trattamento "rientra nelle ragionevoli aspettative dell'interessato in virtù della relazione Titolare e Interessato": un'affermazione circolare e non argomentata, che non si misura con la specificità dell'operazione e non verifica obiettivamente le aspettative della clientela. Il Garante ha ritenuto questa formulazione non soltanto insufficiente, contrastante con il requisito di documentazione rigorosa imposto dalle Guidelines 1/2024, ma anche direttamente smentita dalla realtà dei fatti. Due evidenze empiriche schiaccianti lo dimostrano: l'imponente numero di reclami e segnalazioni pervenuti sia al Garante sia all'AGCM; e, soprattutto, il dato relativo all'esito della campagna di contatto del secondo ramo, condotta in ottemperanza al provvedimento AGCM, che ha registrato il trasferimento volontario e consensuale di soli 76.000 clienti su 2,1 milioni della platea originaria (circa il 3,6%). Una percentuale di adesione tanto esigua, di fronte a una base clienti teoricamente "prevalentemente digitale" e dunque teoricamente propensa al modello Isybank, è la più eloquente smentita empirica della tesi che l'operazione rientrasse nelle ragionevoli aspettative degli interessati.

 

Peraltro, come evidenziato nel provvedimento richiamando le conclusioni dell'AGCM, il passaggio a Isybank aveva comportato per gli interessati modifiche operative di rilievo: impossibilità di interagire con la banca se non tramite smartphone, assenza di sportelli fisici, impossibilità di accedere al servizio tramite browser di personal computer nella fase iniziale, cambio dell'IBAN con tutti i connessi disagi, e mancanza di alcune funzionalità presenti in ISP (carte virtuali per acquisti internet, libretto degli assegni).

La conclusione del Garante: il consenso come unica base giuridica applicabile

Poiché le tre condizioni cumulative dell'art. 6, par. 1, lett. f) RGPD non risultavano tutte soddisfatte, la seconda (necessità) non era dimostrata dalla documentazione, la terza (bilanciamento e ragionevoli aspettative) era insuperabilmente compromessa dall'impatto concreto dell'operazione e dall'evidenza empirica, il Garante ha concluso che il legittimo interesse non poteva trovare applicazione per la fase di profilazione. La sola base giuridica concretamente applicabile era da individuarsi nel consenso informato degli interessati ai sensi dell'art. 6, par. 1, lett. a) RGPD. Gli interessati non erano stati posti nelle condizioni di rilasciare tale consenso prima dello svolgimento delle attività di profilazione, con conseguente integrazione della violazione dell'art. 6, par. 1 del Regolamento.

Questo approccio è coerente con quanto già affermato dal WP251 che, nel raccomandare le buone prassi per la profilazione fondata sul consenso (Allegato 1), indica di consultare le Linee guida WP259 sul consenso, le quali chiariscono che il consenso deve essere libero, specifico, informato e inequivocabile, requisiti che avrebbero imposto, nella fattispecie, di informare i clienti della profilazione funzionale alla cessione e di ottenerne il consenso prima di procedere all'estrazione automatizzata dai sistemi gestionali.

L'inadeguatezza del Legitimate Interest Assessment e il difetto di accountability

Il difetto di base giuridica per la profilazione si accompagna, nel ragionamento del provvedimento, a una distinta violazione del principio di accountability sancito dagli artt. 5, par. 2, 24 e 25 del RGPD. Il principio di "responsabilizzazione" del titolare non si esaurisce nel rispetto sostanziale delle regole, ma impone la capacità di dimostrare tale conformità attraverso documentazione appropriata.

Le Linee guida WP248 sulla DPIA precisano che questa valutazione "è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del RGPD, ma anche a dimostrare l'adozione di misure idonee a garantire il rispetto di tali prescrizioni." Analogamente, le Guidelines 1/2024 dell'EDPB richiedono che il LIA produca documentazione che giustifichi adeguatamente la scelta del legittimo interesse. I contenuti minimi della DPIA sono identificati dall'art. 35, par. 7 RGPD: devono essere inclusi, tra l'altro, "una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità" e "una valutazione dei rischi per i diritti e le libertà degli interessati".

 

Il LIA esibito da ISP mancava di entrambi questi elementi sostanziali. Riguardo alla necessità, esso si limitava ad asserire che i trattamenti erano necessari per il buon esito dell'operazione, senza verificare l'esistenza di alternative meno invasive. Riguardo al bilanciamento e alle ragionevoli aspettative, affermava tautologicamente che il trattamento rientrava nelle aspettative dell'interessato "in virtù della relazione Titolare e Interessato", senza alcun elemento concreto di supporto. Il Garante ha definito questa affermazione "apodittica", non idonea a comprovare che fosse stata effettuata una "effettiva e compiuta ponderazione dei contrapposti interessi in gioco".

La mancanza di un LIA adeguato non è un vizio meramente formale: essa si traduce nell'impossibilità per il titolare di dimostrare ex post, come richiederebbe il principio di accountability, che al momento della decisione di trattare i dati era stata effettuata la necessaria valutazione. È sintomatico, in questo senso, che ISP abbia ammesso negli scritti difensivi di non aver condotto un LIA specificamente dedicato alla profilazione, avendo considerato quella fase come "implicita" nel trattamento più ampio di comunicazione dei dati, ulteriore conferma che la separazione delle due fasi operata dal Garante era non solo giuridicamente corretta ma necessaria per garantire l'effettività della tutela.

La violazione del principio di trasparenza e dell'obbligo di informativa ex art. 14 RGPD

In via autonoma rispetto alla questione della base giuridica, il provvedimento accerta la violazione dei principi di liceità, correttezza e trasparenza di cui all'art. 5, par. 1, lett. a) RGPD, nonché dell'art. 14 RGPD che disciplina gli obblighi informativi quando i dati non sono raccolti direttamente presso l'interessato.

Il quadro normativo di riferimento è articolato. Il considerando 39 del RGPD enuncia il principio generale: "Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro." Il considerando 60 aggiunge che "l'interessato dovrebbe essere informato dell'esistenza di una profilazione e delle conseguenze della stessa." L'art. 14, par. 2, lett. g) specifica che, quando i dati non sono raccolti presso l'interessato, devono essere fornite "informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato" in caso di processo decisionale automatizzato, compresa la profilazione.

 

Le Linee guida WP260 sulla trasparenza (adottate il 28 novembre 2017, come modificate l'11 aprile 2018 e recepite dall'EDPB) articolano questi obblighi in modo sistematico. Esse chiariscono che le informazioni devono essere "concise, trasparenti, intelligibili e facilmente accessibili" ai sensi dell'art. 12, par. 1 RGPD, e che "una considerazione centrale al principio della trasparenza (…) è che l'interessato dovrebbe essere in grado di determinare in anticipo quali siano la portata del trattamento e le relative conseguenze e non dovrebbe successivamente essere colto di sorpresa dalle modalità di utilizzo dei dati personali che lo riguardano." Sul contenuto dell'informativa in caso di legittimo interesse come base giuridica, le WP260 specificano che "l'interesse specifico in questione dev'essere individuato a beneficio dell'interessato" e che "la migliore prassi prevede che il titolare del trattamento possa anche fornire all'interessato le informazioni tratte dal test di bilanciamento, che dev'essere svolto come base giuridica del trattamento prima di raccogliere i dati personali degli interessati."

L'informativa sul "Trattamento di dati personali nell'ambito dell'operazione societaria tra Intesa Sanpaolo S.p.A. e Isybank S.p.A." presentava carenze su entrambi i piani, contenuto e modalità di comunicazione, che il Garante ha accertato in modo distinto.

Quanto al contenuto, l'informativa conteneva richiami alla profilazione esclusivamente in relazione alle finalità di marketing diretto e indiretto, omettendo qualsiasi riferimento alla profilazione effettuata per le finalità connesse all'operazione societaria, ossia la classificazione automatizzata della clientela come "prevalentemente digitale" ai fini del conferimento, e non fornendo alcuna informazione circa la logica del trattamento e le sue conseguenze per l'interessato. Questa omissione integra una violazione diretta dell'art. 14, par. 2, lett. g) RGPD. Le WP260 precisano del resto, nella tabella allegata alle Linee guida, che laddove il trattamento si basi sul legittimo interesse e riguardi la profilazione, devono essere esplicitati "i legittimi interessi perseguiti dal titolare del trattamento o da un terzo": un'informativa che menzioni la profilazione soltanto in relazione al marketing è una informativa incompleta che non raggiunge lo standard di trasparenza richiesto quando la profilazione persegue finalità diverse e ben più rilevanti per l'interessato.

 

Quanto alle modalità di comunicazione, l'informativa era stata resa inserendola nell'archivio dell'area utente dell'internet banking e dell'app di ISP, senza notifica push né avviso di messaggio distinto, nel periodo estivo a partire dal 28 giugno 2023, con l'assegnazione di un termine per manifestare il dissenso che configurava, nella sostanza, una forma di silenzio-assenso. Il Garante ha condiviso le valutazioni già espresse dall'AGCM nel procedimento parallelo: la comunicazione era "all'interno della sezione archivio dell'area utente dell'internet banking o della App di Intesa Sanpaolo senza alcuna particolare evidenza, in particolare né con notifica push né con avviso di messaggio". Le WP260 chiariscono che "un aspetto di fondamentale importanza è che il o i metodi scelti per fornire le informazioni siano adeguati alle circostanze, vale a dire la modalità di interazione tra il titolare del trattamento e l'interessato": per un'operazione che comporta il cambio di istituto bancario, dell'IBAN, delle condizioni operative del conto e della stessa operatività del servizio, l'inserimento di una comunicazione nell'archivio dell'app, confusa tra le numerose notifiche quotidiane, non può essere considerata modalità adeguata alle circostanze. Un adeguato bilanciamento degli interessi, se correttamente condotto, avrebbe dovuto far riconoscere al titolare l'esigenza di una comunicazione attiva e distinta, proporzionata alla rilevanza dell'operazione per i diritti degli interessati.

La quantificazione della sanzione: criteri di commisurazione ex art. 83, par. 2, RGPD

Ai fini della quantificazione della sanzione, il Garante ha applicato l'art. 83, par. 3, RGPD, che, in caso di violazione di più disposizioni con lo stesso trattamento, limita l'importo totale della sanzione a quello del massimo edittale previsto per la violazione più grave. Le violazioni accertate (artt. 5, par. 1, lett. a), 6, par. 1 e 14 RGPD) ricadono nell'ambito dell'art. 83, par. 5, che prevede un massimo edittale di 20 milioni di euro o, se superiore, il 4% del fatturato mondiale annuo dell'esercizio precedente.

 

Dei criteri di commisurazione elencati dall'art. 83, par. 2, RGPD, il Garante ha valorizzato i seguenti:

  • In senso aggravante:

    la natura delle violazioni (inosservanza dei principi fondamentali di liceità e trasparenza)

    l'elevatissimo numero degli interessati (circa 2,4 milioni di soggetti in due distinte operazioni),

    le conseguenze concrete del trattamento illecito sulla sfera giuridica degli interessati (modifica unilaterale delle condizioni contrattuali, cambio IBAN, perdita di funzionalità),

    il fatto che il trattamento fosse risultato "del tutto inaspettato" per gli interessati,

    la modalità con cui l'Autorità ha preso conoscenza della violazione (numerose istanze e segnalazioni degli interessati, ai sensi dell'art. 83, par. 2, lett. h) RGPD), indice del carattere sistemico e diffuso della condotta.

  • In senso attenuante: 

    la natura dei dati trattati (non appartenenti a categorie particolari ex art. 9 RGPD, ai sensi dell'art. 83, par. 2, lett. g));

    l'elemento soggettivo colposo, non doloso, della violazione, riconducibile a una "erronea interpretazione del concetto di profilazione" (art. 83, par. 2, lett. b));

    la parziale adozione di misure attenuanti (art. 83, par. 2, lett. c)), segnatamente gli impegni assunti dinanzi all'AGCM;

    l'assenza di precedenti violazioni pertinenti (art. 83, par. 2, lett. e));

    la cooperazione con l'Autorità nel corso del procedimento (art. 83, par. 2, lett. f)) e l'ottemperanza agli impegni AGCM, che hanno consentito di tenere in maggiore considerazione la volontà degli interessati.

Il Garante ha inoltre tenuto conto, ai fini del rispetto dei principi di effettività, proporzionalità e dissuasività sanciti dall'art. 83, par. 1, delle condizioni economiche del contravventore così come rilevate dal bilancio di esercizio per l'anno 2023.

 

La sanzione finale di euro 17.628.000,00, corrispondente a circa l'88% del massimo edittale assoluto di 20 milioni, riflette la gravità oggettiva della condotta in termini di ampiezza della platea colpita e di impatto concreto sulle sfere giuridiche individuali, temperata dall'elemento soggettivo colposo e dai comportamenti collaborativi successivi. L'art. 166, comma 8, del Codice consente la definizione in misura ridotta, pari alla metà della sanzione irrogata, entro il termine per la proposizione del ricorso ex art. 10, comma 3, d.lgs. n. 150 del 1° settembre 2011.

Poiché l'operazione societaria si è nel frattempo conclusa, il Garante ha escluso l'adozione di misure correttive ai sensi dell'art. 58, par. 2, RGPD diverse dalla sanzione pecuniaria. Il provvedimento dispone la pubblicazione sul sito internet dell'Autorità ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, nonché l'annotazione delle violazioni nel registro interno dell'Autorità ai sensi dell'art. 57, par. 1, lett. u) del RGPD.

Implicazioni sistematiche e conclusioni

Il provvedimento del 12 marzo 2026 è destinato a costituire un riferimento stabile nell'interpretazione e nell'applicazione del RGPD per almeno tre ordini di ragioni.

In primo luogo, esso fissa con chiarezza i confini della nozione di profilazione ex art. 4, par. 4 RGPD nelle operazioni societarie complesse, distinguendo nettamente la profilazione funzionale alla perimetrazione soggettiva della clientela ceduta, che richiede base giuridica autonoma, dalla mera cessione di compendi oggettivi (filiali, portafogli di crediti) che prescinde da qualsiasi valutazione delle caratteristiche personali degli interessati. Ogni operatore che intenda definire il perimetro di una cessione attraverso criteri valutativi applicati in modo automatizzato a caratteristiche individuali dei clienti dovrà considerare preventivamente le implicazioni di protezione dei dati personali di quella fase, separandola analiticamente dalla successiva comunicazione.

In secondo luogo, esso chiarisce il regime applicativo del legittimo interesse come base giuridica per la profilazione: il LIA non può essere un documento formulare e tautologico; deve essere un esercizio sostanziale che analizzi analiticamente le tre condizioni cumulative, interesse legittimo, necessità, bilanciamento, con specifica attenzione alle ragionevoli aspettative degli interessati nel contesto concreto della relazione con il titolare, documentando in modo rigoroso le ragioni per cui l'interesse del titolare prevale. Quando l'evidenza empirica, come nella specie il tasso di adesione del 3,6% alla cessione consensuale, smentisce le conclusioni del bilanciamento, il LIA è da considerarsi non conforme, indipendentemente dalla sua veste formale.

 

In terzo luogo, esso ribadisce che il principio di trasparenza non è rispettato attraverso la mera disponibilità di un'informativa in un archivio dell'app o del sito internet, né attraverso il silenzio-assenso. Le modalità di comunicazione devono essere proporzionate alla rilevanza dell'operazione per la sfera giuridica degli interessati: per operazioni che comportano il cambio di istituto bancario, la modifica dell'IBAN e delle condizioni operative del conto, è necessaria una comunicazione attiva e distinta, che non si confonda con le notifiche routinarie. L'interessato, come affermano le WP260, non deve essere "colto di sorpresa" dalle modalità di utilizzo dei suoi dati personali.

 

Data pubblicazione: 18-03-2026
Data revisione: 18-03-2026
Autore: Roberto Pagano

Dott. Roberto Pagano

Privacy Officer e Consulente della Privacy

Fondatore di WRP Srl, IusPrivacy.eu e co-founder cercolavoro.com, Data Protection Officer certificato esperto in legal tech in materia di protezione dei dati e IA

Fonti / Citazioni
[1] - Regolamento (UE) 2016/679
[2] - Codice Privacy italiano
[3] - Provvedimento 12 marzo 2026, n. 163
[4] - European Data Protection Board
[5] - EDPB – WP260
[6] - EDPB – Guidelines 1/2024
[7] - Meta Platforms vs Bundeskartellamt
[8] - Testo Unico Bancario – art. 58
[9] - Garante, provv. 25 ottobre 2007, n. 53
[10] - Garante, 18 gennaio 2007