Il Garante della Privacy ha sanzionato un istituto di credito con una multa di 100.000 euro per aver violato il diritto di accesso di un cliente ai propri dati personali.
Il fatto
Il cliente, dopo essere stato vittima di una presunta frode e al fine di ricostruire gli eventi, voleva accedere alle registrazioni delle conversazioni telefoniche che aveva avuto con il servizio clienti della banca. Queste telefonate erano potenzialmente utili per comprendere cosa fosse stato detto, quali istruzioni fossero state date e se vi fosse responsabilità da parte dell’istituto.
Il cliente ha presentato formale istanza alla banca per ottenere tali registrazioni, invocando il cosiddetto diritto di accesso ai propri dati personali, cioè il diritto di visionare le informazioni che lo riguardano detenute da terzi. La banca però non ha risposto entro i termini previsti e non ha fornito una risposta esaustiva alle richieste presentate.
Attraverso il provvedimento n. 413 del 10 luglio 2025, il Garante ha sanzionato l’istituto bancario per non aver rispettato quanto previsto dal diritto di accesso ai dati personali, considerando le registrazioni telefoniche e le eventuali trascrizioni delle informazioni personali.
La sanzione del Garante della Privacy e le motivazioni
Il Garante ha quindi sanzionato l’istituto di credito con una multa di 100.000 euro, motivando la decisione con la mancata risposta entro i termini previsti per legge. Il GDPR stabilisce che a seguito di una richiesta di accesso ai propri dati, il titolare del trattamento deve rispondere entro un mese dalla ricezione della richiesta. Inoltre, in caso il titolare non voglia divulgare questi dati è necessario che vengano forniti i motivi del rifiuto.
La banca ha poi consegnato le informazioni richieste al cliente, ma tardivamente e solo dopo l’apertura del procedimento da parte del Garante.
Trasparenza e diritto di accesso
Il provvedimento del Garante della Privacy porta nuovamente in luce una tematica cruciale per la tutela dei cittadini: la trasparenza nel rapporto con i gestori di dati personali (banche, enti, società).
Il diritto di accesso è un principio fondamentale: chi conserva i dati che riguardano un certo individuo, deve poterli fornire in ogni momento e deve essere in grado di spiegare come vengono conservati, utilizzati e con che logiche.
Sempre più spesso il diritto di accesso riguarda anche forme “non convenzionali” di informazioni, come le registrazioni di conversazioni, e-mail, chat, registrazioni audio, timestamp di log tecnologici.
Secondo la sentenza del Garante, anche queste forme di dato possono rientrare nel diritto di accesso, se contengono informazioni personali dell’interessato.
