La lezione chiave del 2026
Il primo quadrimestre del 2026 ha messo in luce un tema cruciale: la compliance con il Regolamento GDPR non è una questione di carta bollata, bensì una responsabilità attiva basata su processi operativi, infrastrutture sicure e documentazione coerente. Le autorità di controllo europee, come dimostrano diversi casi recenti, stanno adottando un modello di ispezione sempre più capillare, valutando non solo la presenza formale di documenti, ma soprattutto la loro applicazione pratica.
C’è una frase che circola da anni tra i professionisti del settore: “non basta avere i documenti”. Ora, grazie a una serie di provvedimenti istruttivi, si aggiunge una precisazione importante. I documenti sono importanti, soprattutto se di qualità. Ma non basta: serve una coerenza totale tra documenti, processi, architetture, controlli e responsabilità. Chi possiede i documenti deve dimostrare che i presidi a cui si riferiscono li mettono in pratica, altrimenti è falso rassicurazione interna.
I due provvedimenti su Intesa Sanpaolo
Nel mese di marzo 2026, il Garante privacy italiano ha adottato due provvedimenti rivelatori nei confronti di Intesa Sanpaolo. Il primo provvedimento, il numero 163 del 12 marzo 2026, è relativo a un’operazione societaria in cui la banca ha trasferito circa 2,4 milioni di clienti alla sua controllata Isybank. Intesa ha effettuato un’analisi precisa delle caratteristiche dei clienti, utilizzando algoritmi informatici, e ha identificato quelli che rientravano in una precisa tipologia di profilo.
Secondo l’articolo 4 del GDPR, tale attività rientrava comunque nella definizione di profilazione, per il semplice fatto di analizzare in modo sistematico dati personali. Il problema non era la funzione stessa, ma la base giuridica utilizzata: la trasferenza di dati personali deve poggiare su una base separata e autonoma. Il Garante ha sanzionato la banca con 17.628.000 euro per violazione degli articoli 5, 6 e 14 del regolamento.
Altro problema: la comunicazione verso i clienti. L’informativa sull’operazione era pubblicata in modo non evidente, all’interno dell’app della banca, senza richiamare l’attenzione e senza fornire chiara indicazione del termine entro cui potevano esprimere il diniego. Non era solo questione di forma, ma di effettiva trasparenza.
Accessi illegali in barletta
Il secondo provvedimento riguarda un dipendente della filiale di Barletta, nel settore agribusiness, che ha utilizzato le proprie credenziali aziendali per accedere ai conti di 3.573 clienti, effettuando 6.637 accessi non giustificati. Il primo segnale al Garante arrivato indicava la violazione di 9 clienti; l’indagine successiva ha evidenziato la strada intera, un problema ben più ampio.
Il Garante ha contestato le violazioni degli articoli 5, 24, 32, 33 e 34 del GDPR. Non si è trattato di un singolo errore umano, ma di un sistema di monitoraggio estremamente debole e non bilanciato con controlli proporzionati al rischio. Il regime della “piena circolarità” in cui gli operatori avevano accesso a qualsiasi cliente, non aveva limiti reali: mancavano quindi controlli sufficienti.
Poste Italiane: accesso alle informazioni dello smartphone
Il 17 aprile 2026, il Garante ha notificato un addebito per un totale di 12.501.000 euro alle società Poste Italiane e Postepay. Il caso riguarda le app BancoPosta e Postepay su dispositivi Android, che richiedevano un'autorizzazione chiamata "Usage Data Access" per accedere a dati sensibili, come ad esempio l'elenco delle applicazioni installate o in uso, le impostazioni di lingua e altri parametri legati all’uso del dispositivo.
La finalità dichiarata era la prevenzione delle frodi e il rispetto della normativa PSD2. La difesa delle società era basata proprio su questa finalità: garantire la sicurezza. Il Garante ha accolto l’esistenza del problema, ma ha bollato il modo in cui era gestito.
Tracciamento dell'uso e rischi di invasività
Secondo il Garante, l’accesso all’elenco delle applicazioni installate rivelava interessi, abitudini, condizioni mediche, orientamenti religiosi e politici, e altri dati estremamente sensibili. La raccolta di questa informazione, non strettamente necessaria per prevenire frodi, era considerata una violazione grave.
Il punto chiave era che le società avevano esposto l’esistenza di una DPIA (Data Protection Impact Assessment) per la Piattaforma Integrata Anti Frode. Il Garante ha ritenuto, però, che mancasse una valutazione specifica relativa alla tecnologia utilizzata in ambito mobile. L’approccio adottato non era sufficientemente mirato a valutare le implicazioni reali di questa soluzione tecnica.
Coerenza tra le parti: un sistema complessivo
I casi di Poste evidenziano una lacuna diversa, ma non sconnessa da quelli di Intesa Sanpaolo. Non era un problema di distanza tra documentazione e operativa, bensì tra una funzione specifica (sicurezza) e altre (rispetto della privacy). La coerenza non riguarda solo i documenti, ma l’intero piano d’azione. Ogni componente di un sistema ha effetti su altre, e deve essere considerata nel contesto globale.
Accountability: una questione di attuazione concreta
Uno dei concetti cardinali del GDPR è l’accountability, l’obbligo del titolare del trattamento di dimostrare, in ogni momento, che i propri processi rientrano nell’ambito normativo, con controlli efficaci, documenti verificabili e informazioni trasparenti verso l’utente. I casi analizzati sottolineano che l’accountability non si dimostra solo con la presenza di documenti, ma con processi operativi che riflettano realmente la struttura definita in carta.
L’importanza della trasparenza concreta
Nel caso di Intesa Sanpaolo, il problema non era l’informazione in sé, bensì la sua visibilità e accessibilità. Il testo era presente, ma l’utente non era messo in grado di capire le implicazioni dell’operazione. Il problema non era la forma, ma l’effettiva raggiungibilità del messaggio.
Nel caso di Poste, invece, il problema riguardava l’accuratezza e pertinenza delle informazioni fornite, in quanto i dati raccolti non erano strettamente necessari alla funzionalità dichiarata.
Controllo e rischi: bilanciare la funzionalità con la protezione
In entrambi i casi, il Garante ha ribadito un principio costante