On 26 March 2026, the Italian data protection authority (Garante per la protezione dei dati personali, „Garante“) fined Intesa Sanpaolo S.p.A. €31,800,000. This is one of the largest fines the Garante has ever imposed, and it carries clear lessons for any organisation that processes personal data at scale – not just banks. What Happened Between […]
Bank
Unlawful Profiling and Poor Transparency: Key Takeaways from the Garante’s Fine Against Intesa Sanpaolo
The Italian Data Protection Authority (Garante) has imposed a €17.6 million fine on Intesa Sanpaolo, one of the largest banking groups in Italy, for unlawful processing of personal data affecting approximately 2.4 million customers in the context of their transfer to the digital bank Isybank. What makes this case particularly relevant is not only its […]
100.000 Euro Bußgeld für Verzögerung bei Auskunftsanfrage
Im Juli 2025 verhängte die italienische Aufsichtsbehörde für Datenschutz (Garante per la protezione dei dati personali, GPDP) ein Bußgeld in Höhe von 100.000 Euro gegen die Banco Bilbao Vizcaya Argentaria SA (BBVA). Was war passiert? Ein Kunde der Bank, der dort ein Girokonto hatte, wurde Opfer eines Betrugs und verlangte Zugang zu Telefonaufzeichnungen seiner Gespräche […]
Keine Beschwerdebefugnis bei Unterschreitung von gesetzlichen Aufbewahrungspflichten
Grundsätzlich sind personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr benötigt werden und keine gesetzlichen Aufbewahrungspflichten der Löschung entgegenstehen. Dies ergibt sich aus Art. 17 DSGVO als gesetzliche Konkretisierung des Datensparsamkeitsgrundsatzes. Häufig beschweren sich Betroffene über die zu lange Speicherung ihrer personenbezogenen Daten. Im Tätigkeitsbericht 2022 legt […]