Una banca spagnola è stata sanzionata dal Garante per la Protezione dei Dati spagnolo (“AEPD”) poiché dal 2019 chiedeva ai clienti di accettare la cessione dei propri dati personali e l'invio delle comunicazioni di natura commerciale per evitare un addebito mensile ricorrente di €5.
Durante l'indagine dell'Autorità, la banca si era giustificata sostenendo “che i clienti non erano tenuti ad accettare alcun consenso […] ma che se lo facevano rispettando anche il resto delle condizioni contrattuali del conto digitale potevano essere esentati dal pagamento di commissioni su determinati prodotti 1”.
Secondo l'istituto di credito, la normativa in materia di protezione dei dati personali veniva rispettata poiché i clienti potevano liberamente e agilmente modificare le proprie preferenze tramite un'apposita procedura.
La Banca spagnola ritenuta responsabile dell'illecito è stata condannata al pagamento di €2,1 milioni di euro poiché, a norma dell'articolo 4 comma 11 il consenso prestato dagli utenti consiste in una “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Nel caso di specie, il consenso non era informato, specifico, libero e inequivocabile come espressamente previsto dall'articolo 7 GDPR e le linee guida 5/2020 sul consenso redatte dall'European Data Protection Board.
Footnote
1. Agencia Española de Protección de Datos, provvedimento PS/00226/2020 del 19 febbraio 2022.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
