Slecht nieuws voor Intesa Sanpaolo: de Garant voor de bescherming van persoonsgegevens heeft de bank een boete van 17.628.000 euro opgelegd. Centraal in de voorziening staat de gedwongen overdracht van meer dan 2 miljoen rekeninghouders naar Isybank, de digitale bank die voor 100% gecontroleerd wordt door de groep, en die op illegale wijze wordt uitgevoerd en zonder adequate informatie aan de geïnteresseerde partijen.

Wat is er precies gebeurd? Tussen 2022 en 2023 verplaatste Intesa Sanpaolo eenzijdig ongeveer 2,4 miljoen klanten naar Isybank, een bank die uitsluitend via apps opereert, zonder fysieke vestigingen. De operatie bracht voor de betrokken rekeninghouders concrete en ingrijpende veranderingen met zich mee: de toewijzing van een nieuw IBAN, de verplichting om dit door te geven aan werkgevers, gebruikers en leveranciers, en het verlies van toegang tot traditionele filialen.

Om te beslissen wie zou worden overgedragen, voerde Intesa Sanpaolo daadwerkelijke klantprofilering uit, zonder dat daarvoor een geldige wettelijke basis bestond. Als criteria werden onder meer gehanteerd: leeftijd niet ouder dan 65 jaar, regelmatig gebruik van digitale kanalen in het afgelopen jaar, afwezigheid van beleggingsproducten en financiële beschikbaarheid onder een bepaalde drempel. In de praktijk selecteerde de bank klanten die als meer ‘gedigitaliseerd’ en met minder middelen werden beschouwd, waardoor ze naar het digitale kanaal werden verplaatst zonder om hun toestemming te vragen.

Tot overmaat van ramp waren de berichten die naar klanten werden gestuurd om hen op de hoogte te stellen van de operatie verre van transparant. De waarschuwingen werden tijdens de zomerperiode in het app-archief van Intesa Sanpaolo geplaatst, zonder pushmeldingen of sms, en zonder dat het nodige bewijs werd geleverd voor een verandering van deze omvang. Volgens de Garant konden klanten redelijkerwijs niet verwachten dat hun bankrelatie zo ingrijpend zou veranderen. In het persbericht over de sanctie tegen Intesa San Paolo schrijft de Autoriteit:

De verwerking die de bank uitvoert op de wijze zoals beschreven in de bepaling is onrechtmatig, ook omdat de klant deze op grond van de context en ontvangen informatie redelijkerwijs niet had kunnen voorzien.

De tussenkomst van de Garant

Het onderzoek is gestart naar aanleiding van talloze meldingen van rekeninghouders en eindigt nu met deze sanctie. Maar het is niet de eerste keer dat deze stap onder toezicht van de autoriteiten komt te staan: al in 2023 had de Antitrust (AGCM) de opschorting van de overdracht bevolen, waarbij werd vastgesteld dat klanten vrijelijk moesten kunnen kiezen of ze bij Intesa Sanpaolo wilden blijven of naar Isybank wilden verhuizen.

Bij de boete van ruim 17 miljoen euro wordt rekening gehouden met de ernst van de overtredingen en het grote aantal betrokkenen. De Garant schrijft:

Bij het vaststellen van de hoogte van de boete heeft de Autoriteit rekening gehouden met de relevantie van de overtredingen, het grote aantal betrokken klanten, maar ook met het nalatige karakter van de overtredingen en de medewerking van de bank.

Dit verhaal herinnert iedereen – instellingen, bedrijven en burgers – eraan dat persoonlijke gegevens geen handelsartikel zijn dat willekeurig moet worden beheerd. Gebruikersprofilering vereist, zelfs als dit plaatsvindt binnen ogenschijnlijk ‘interne’ bedrijfsactiviteiten, een solide wettelijke basis, transparantie en respect voor de wil van mensen.

Sofie Van der Meer
Sofie Van der Meer

Mijn naam is Sofie van der Meer, en ik ben de hoofdredacteur van Envirodesk. Met een achtergrond in milieujournalistiek en meer dan tien jaar ervaring in het rapporteren over klimaatbeleid en duurzaamheidsinnovaties, ben ik gepassioneerd over het gebruik van storytelling om verandering teweeg te brengen. Mijn missie is om oplossingen te versterken en actie te inspireren voor een groenere, rechtvaardigere wereld.