Categorie: Insights, Prassi

Tag: GDPR, Informativa


1 Mag 2019

GDPR: l’Autorità polacca per la protezione dei dati personali infligge la prima sanzione

La Data Protection Board (Edpb) ha reso noto sul proprio sito istituzionale che l’autorità polacca per la protezione dei dati personali (UODO), nel mese di marzo 2019, ha inflitto ad una società svedese la prima sanzione ai sensi del Regolamento UE 2016/679 in materia di protezione dei dati personali (il “GDPR”). Nello specifico, la società è stata condannata al pagamento di una sanzione pari ad Euro 220.000, poiché ha elaborato i dati personali di taluni soggetti senza che quest’ultimi ne fossero consapevoli. È stato, infatti, accertato che la stessa non aveva rilasciato ad essi, in aperta violazione dell’art. 14 del GDPR, idonea informativa sul trattamento dei loro dati.

 

Normativa di riferimento

Nel caso in cui i dati raccolti non siano stati forniti direttamente dall’interessato, l’art. 14 del GDPR prevede che il titolare del trattamento gli fornisca le seguenti informazioni:

  1. identità e dati di contatto propri e, ove applicabile, del suo rappresentante;
  2. i dati di contatto del responsabile della protezione dei dati personali, ove applicabile;
  3. le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  4. le categorie di dati personali in questione;
  5. gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  6. ove applicabile, l’intenzione del titolare di trasferire dati personali al di fuori dell’Unione Europea;
  7. il periodo di conservazione dei dati personali o, se non è possibile, i criteri utilizzati per determinare tale periodo;
  8. gli eventuali legittimi interessi perseguiti dal titolare del trattamento o da terzi;
  9. l’esistenza del diritto di chiedere al titolare di accedere ai propri dati, rettificarli o cancellarli, limitarne il trattamento ed opporsi ad esso nonché la loro portabilità;
  10. qualora il trattamento si basi sul consenso prestato, l’esistenza del diritto di revocarlo in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;
  11. il diritto di proporre reclamo all’autorità di controllo;
  12. la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;
  13. l’esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno, in tali casi, informazioni significative sulla logica utilizzata nonché l’importanza e le conseguenze previste per l’interessato.

 

Il Titolare deve fornire all’interessato dette informazioni entro un termine ragionevole e, comunque, entro un mese dalla raccolta oppure al momento della comunicazione dei dati ad esso o a terzi.

 

Il caso

Nel caso in esame la società sanzionata – che offre supporto decisionale sotto forma di business digitale, marketing e informazioni creditizie – ha elaborato i dati molte persone fisiche (imprenditori), a loro insaputa.

 

Gli interessati non sono stati informati del trattamento dei loro dati e, quindi, sono stati privati della possibilità di esercitare i propri diritti ai sensi del GDPR. Gli stessi non hanno avuto la possibilità di opporsi all’ulteriore elaborazione dei loro dati, per chiederne la cancellazione o la rettifica.

 

In particolare, la società ha fornito le informazioni di cui all’art. 14 del GDPR solo alle persone di cui aveva un indirizzo e-mail. Nei confronti delle altre, invece, non ha rispettato l’obbligo informativo, a causa (per sua stessa ammissione) degli “elevati costi operativi” che avrebbe dovuto sopportare nell’inviare loro l’informativa per raccomandata, limitandosi a pubblicare l’informativa privacy sul suo sito web.

 

Secondo il presidente dell’UODO la società, disponendo sia degli indirizzi postali che dei numeri di telefono di dette persone, ben avrebbe dovuto adempiere in tal modo all’obbligo informativo nei loro confronti. Le disposizioni del GDPR, infatti, non impongono al titolare del trattamento di inviare l’informativa “per raccomandata”.

 

Il presidente dell’UODO, dunque, ha ritenuto la violazione della società intenzionale, proprio perché la stessa era consapevole dell’obbligo di fornire informazioni pertinenti nonché della necessità di informare direttamente le persone.

 

Nell’infliggere la sanzione, l’UODO ha anche tenuto conto del fatto che la società non avesse intrapreso alcuna azione (correttiva) per porre fine all’infrazione, né avesse dichiarato la propria intenzione di farlo.

 

In conclusione, l’UODO ha considerato tale violazione molto grave poiché “riguarda i diritti e le libertà fondamentali delle persone, i cui dati sono trattati dalla società e si riferiscono alla questione di base: le informazioni da fornire all’interessato riguardanti il trattamento dei suoi dati personali. Imporre la multa è necessario, perché il controllore non è conforme alla legge”.

 

Considerazioni

Si tratta di una importante pronuncia atteso che (i) la sanzione deriva dalla violazione di una normativa Europea (applicabile come noto anche nel nostro ordinamento) in materia di protezione dei dati personali e non nazionale e (ii) evidenzia un errore in termini di compliance aziendale. Ciò in quanto la società non aveva adempiuto all’onere sulla stessa gravante, omettendo di informare gli interessati in merito al trattamento dei loro dati.

 

Notizie correlate:

 

https://www.delucapartners.it/news/2019/licenziamento-collettivo-e-criteri-di-scelta/

 

https://www.delucapartners.it/news/2019/linee-guida-del-comitato-europeo-per-la-protezione-dei-dati-sullapplicazione-territoriale-del-gdpr/

Iscriviti alla newsletter

Contattaci

Hai bisogno di informazioni? Scrivici e il nostro team di esperti ti risponderà il prima possibile.

Compila il form

Altre news e insights

8 Lug 2026

Trasparenza salariale: a un mese dall’entrata in vigore, sono due gli orientamenti sul mercato (The Platform, 8 luglio 2026 – Vittorio De Luca, Claudia Cerbone e Martina De Angeli)

Dal 7 giugno si devono applicare le regole Ue dirette a rafforzare il principio della parità di retribuzione tra uomini e donne per uno stesso lavoro o per…

2 Lug 2026

Lo sai che… dal 7 giugno 2026 è pienamente in vigore il Decreto Legislativo n. 96/2026?

Dal 7 giugno 2026 è pienamente in vigore il Decreto Legislativo n. 96/2026, che introduce anche nell’ordinamento italiano un sistema strutturato di trasparenza retributiva con l’obiettivo di rafforzare…

2 Lug 2026

Omessa contestazione dell’addebito disciplinare: la Cassazione esclude la nullità del licenziamento e la reintegra nelle piccole imprese

Massima Con la recentissima sentenza n. 17283 del 1° giugno 2026, la Corte di Cassazione ha affrontato il tema della omessa contestazione disciplinare e dei suoi effetti sul…

2 Lug 2026

AI e rapporto di lavoro: prime indicazioni dei decreti attuativi e riflessi in ambito data protection

Con l’approvazione in via preliminare, da parte del Consiglio dei Ministri il 10 giugno 2026, dei primi schemi di decreti legislativi attuativi della legge delega in materia di…

1 Lug 2026

Sostenibilità, responsabilità e futuro: il nostro impegno cresce nel tempo

In occasione del nostro 50° anniversario, abbiamo scelto di guardare al futuro con la stessa attenzione con cui custodiamo le nostre radici. Radici che affondano in Puglia, terra…

25 Giu 2026

Parità salariale e trasparenza retributiva: cosa cambierà in Italia (People are People, 25 giugno 2026 – Claudia Cerbone e Martina De Angeli)

Con il D.Lgs. 7 maggio 2026, n. 96, entrato in vigore il 7 giugno 2026, l'Italia ha recepito la Direttiva (UE) 2023/970 sulla trasparenza retributiva, collocandosi tra i…