El Garante de la Privacidad sanciona a Intesa Sanpaolo con 17,6 millones de euros por el tratamiento ilícito de datos de 2,4 millones de clientes.
El Garante de la Privacidad ha impuesto una sanción de 17.628.000 euros a Intesa Sanpaolo Spa por el tratamiento ilegal de los datos de aproximadamente 2,4 millones de clientes que fueron transferidos unilateralmente a su filial Isybank Spa, un banco completamente digital. La sanción se produce tras una investigación exhaustiva iniciada a raíz de numerosas denuncias de clientes.
La investigación reveló graves infracciones. Para identificar a los clientes que serían transferidos a Isybank, Intesa Sanpaolo realizó una segmentación de su base de clientes sin una base legal adecuada. Los criterios de selección incluyeron edad no superior a 65 años, uso habitual de canales digitales en el último año, ausencia de productos de inversión y disponibilidad financiera por debajo de un determinado umbral.
Esta operación afectó significativamente a los clientes, ya que implicó la transferencia de sus cuentas a un nuevo responsable del tratamiento de datos, lo que resultó en modificaciones unilaterales de las condiciones contractuales y del funcionamiento de la cuenta corriente (por ejemplo, la asignación de un nuevo IBAN y la necesidad de comunicarlo a terceros, la falta de sucursales físicas y el acceso exclusivo a través de una aplicación).
Además, las comunicaciones a los clientes sobre esta operación fueron insuficientes, enviadas principalmente en verano a la sección de archivo de la aplicación de Intesa Sanpaolo, sin destacar la importancia de la modificación. El Garante considera que el tratamiento de datos realizado por el banco es ilegal, ya que los clientes no podían preverlo razonablemente.
Al determinar el importe de la sanción, la Autoridad tuvo en cuenta la gravedad de las infracciones, el elevado número de clientes afectados, así como el carácter no intencionado de las infracciones y la colaboración prestada por el banco.
Roma, 12 de marzo de 2026
