La Data Protection Board (Edpb) ha reso noto sul proprio sito istituzionale che l’autorità polacca per la protezione dei dati personali (UODO), nel mese di marzo 2019, ha inflitto ad una società svedese la prima sanzione ai sensi del Regolamento UE 2016/679 in materia di protezione dei dati personali (il “GDPR”). Nello specifico, la società è stata condannata al pagamento di una sanzione pari ad Euro 220.000, poiché ha elaborato i dati personali di taluni soggetti senza che quest’ultimi ne fossero consapevoli. È stato, infatti, accertato che la stessa non aveva rilasciato ad essi, in aperta violazione dell’art. 14 del GDPR, idonea informativa sul trattamento dei loro dati.

Normativa di riferimento

Nel caso in cui i dati raccolti non siano stati forniti direttamente dall’interessato, l’art. 14 del GDPR prevede che il titolare del trattamento gli fornisca le seguenti informazioni:

1. identità e dati di contatto propri e, ove applicabile, del suo rappresentante;
2. i dati di contatto del responsabile della protezione dei dati personali, ove applicabile;
3. le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
4. le categorie di dati personali in questione;
5. gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
6. ove applicabile, l’intenzione del titolare di trasferire dati personali al di fuori dell’Unione Europea;
7. il periodo di conservazione dei dati personali o, se non è possibile, i criteri utilizzati per determinare tale periodo;
8. gli eventuali legittimi interessi perseguiti dal titolare del trattamento o da terzi;
9. l’esistenza del diritto di chiedere al titolare di accedere ai propri dati, rettificarli o cancellarli, limitarne il trattamento ed opporsi ad esso nonché la loro portabilità;
10. qualora il trattamento si basi sul consenso prestato, l’esistenza del diritto di revocarlo in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;
11. il diritto di proporre reclamo all’autorità di controllo;
12. la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;
13. l’esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno, in tali casi, informazioni significative sulla logica utilizzata nonché l’importanza e le conseguenze previste per l’interessato.

Il Titolare deve fornire all’interessato dette informazioni entro un termine ragionevole e, comunque, entro un mese dalla raccolta oppure al momento della comunicazione dei dati ad esso o a terzi.

Il caso

Nel caso in esame la società sanzionata – che offre supporto decisionale sotto forma di business digitale, marketing e informazioni creditizie – ha elaborato i dati molte persone fisiche (imprenditori), a loro insaputa.

Gli interessati non sono stati informati del trattamento dei loro dati e, quindi, sono stati privati della possibilità di esercitare i propri diritti ai sensi del GDPR. Gli stessi non hanno avuto la possibilità di opporsi all’ulteriore elaborazione dei loro dati, per chiederne la cancellazione o la rettifica.

In particolare, la società ha fornito le informazioni di cui all’art. 14 del GDPR solo alle persone di cui aveva un indirizzo e-mail. Nei confronti delle altre, invece, non ha rispettato l’obbligo informativo, a causa (per sua stessa ammissione) degli “elevati costi operativi” che avrebbe dovuto sopportare nell’inviare loro l’informativa per raccomandata, limitandosi a pubblicare l’informativa privacy sul suo sito web.

Secondo il presidente dell’UODO la società, disponendo sia degli indirizzi postali che dei numeri di telefono di dette persone, ben avrebbe dovuto adempiere in tal modo all’obbligo informativo nei loro confronti. Le disposizioni del GDPR, infatti, non impongono al titolare del trattamento di inviare l’informativa “per raccomandata”.

Il presidente dell’UODO, dunque, ha ritenuto la violazione della società intenzionale, proprio perché la stessa era consapevole dell’obbligo di fornire informazioni pertinenti nonché della necessità di informare direttamente le persone.

Nell’infliggere la sanzione, l’UODO ha anche tenuto conto del fatto che la società non avesse intrapreso alcuna azione (correttiva) per porre fine all’infrazione, né avesse dichiarato la propria intenzione di farlo.

In conclusione, l’UODO ha considerato tale violazione molto grave poiché “riguarda i diritti e le libertà fondamentali delle persone, i cui dati sono trattati dalla società e si riferiscono alla questione di base: le informazioni da fornire all’interessato riguardanti il trattamento dei suoi dati personali. Imporre la multa è necessario, perché il controllore non è conforme alla legge”.

Considerazioni

Si tratta di una importante pronuncia atteso che (i) la sanzione deriva dalla violazione di una normativa Europea (applicabile come noto anche nel nostro ordinamento) in materia di protezione dei dati personali e non nazionale e (ii) evidenzia un errore in termini di compliance aziendale. Ciò in quanto la società non aveva adempiuto all’onere sulla stessa gravante, omettendo di informare gli interessati in merito al trattamento dei loro dati.

Notizie correlate:

Licenziamento collettivo e criteri di scelta

Linee Guida del Comitato Europeo per la Protezione dei Dati sull’applicazione territoriale del GDPR

La Corte di Cassazione, con la sentenza n. 88 del 4 gennaio 2018, ha statuito che non è considerabile quale condotta antisindacale, la decisione del datore di lavoro di modificare l’orario di lavoro, senza consultare la delegazione sindacale, bensì fornendo una semplice informativa, se lo stesso si è limitato a dare esecuzione ad un accordo già raggiunto con le parti sociali. Nel caso di specie, Poste Italiane S.p.A. era stata convenuta in giudizio per condotta antisindacale sull’assunto che avesse proceduto ad una modifica dell’orario di lavoro in violazione delle disposizioni di cui al CCNL applicato, e cioè senza aver proceduto alla preventiva consultazione della delegazione sindacale. Tuttavia, la Corte di Cassazione, nel confermare decisione della Corte Territoriale, ha evidenziato che la società e le organizzazioni sindacali avevano raggiunto uno specifico Accordo operante in caso di nuovi regimi di orario la cui introduzione nell’unità produttiva di riferimento prevedeva l’obbligo di informativa alla Delegazione sindacale cui spettava l’onere, entro i cinque giorni, di provocare – se del caso – la consultazione. Orbene, a parere della Corte, la società aveva rispettato l’onere di informazione, essendo, invece, rimasta inattiva la Delegazione, con conseguente correttezza del comportamento aziendale dimostratosi rispettoso sia delle previsione del CCNL che dell’accordo sindacale.

Con la principale finalità di consentire la conciliazione dei tempi di vita e lavoro, è stato approvato definitivamente il DDL 2233-B che, per l’appunto, disinclina il c.d. lavoro agile, ossia quella modalità di svolgimento della prestazione lavorativa al di fuori dei locali aziendali e senza precisi vincoli di orario (c.d. smart working). Le caratteristiche intrinseche del lavoro agile, naturalmente, comportano un’attenuazione del controllo del datore di lavoro e ciò anche in ordine alla valutazione degli elementi che possono incidere sulla salute e sulla sicurezza del lavoratore. In ragione di tale inevitabile conseguenza e, fermo restando che il datore di lavoro resta pur sempre il garante della salute e della sicurezza del lavoratore, il Legislatore ha previsto che egli debba consegnare al lavoratore e al rappresentante dei lavoratori per la sicurezza, con cadenza almeno annuale, un’informativa scritta in cui siano individuati i rischi generali e i rischi specifici connessi alla particolare modalità di esecuzione del rapporto di lavoro. Dal canto suo, il lavoratore viene responsabilizzato in quanto espressamente tenuto a cooperare all’attuazione delle misure di prevenzione predisposte dal datore di lavoro per fronteggiare i rischi connessi all’esecuzione della prestazione all’esterno dei locali aziendali. Le previsioni in commento, tuttavia, non esauriscono il dovere di garanzia della salute e sicurezza del lavoratore facente capo al datore di lavoro. Difatti, si ricorda che,  in difetto di deroghe, il datore di lavoro deve attenersi anche alle disposizioni del Testo Unico in materia di sicurezza (D.lgs. 81/2008) per quanto applicabili in ragione delle particolarità che contraddistinguono il lavoro agile.

Scarica qui la versione integrale della legge.