GDPR: l’Autorità polacca per la protezione dei dati personali infligge la prima sanzione

La Data Protection Board (Edpb) ha reso noto sul proprio sito istituzionale che l’autorità polacca per la protezione dei dati personali (UODO), nel mese di marzo 2019, ha inflitto ad una società svedese la prima sanzione ai sensi del Regolamento UE 2016/679 in materia di protezione dei dati personali (il “GDPR”). Nello specifico, la società è stata condannata al pagamento di una sanzione pari ad Euro 220.000, poiché ha elaborato i dati personali di taluni soggetti senza che quest’ultimi ne fossero consapevoli. È stato, infatti, accertato che la stessa non aveva rilasciato ad essi, in aperta violazione dell’art. 14 del GDPR, idonea informativa sul trattamento dei loro dati.

Normativa di riferimento

Nel caso in cui i dati raccolti non siano stati forniti direttamente dall’interessato, l’art. 14 del GDPR prevede che il titolare del trattamento gli fornisca le seguenti informazioni:

1. identità e dati di contatto propri e, ove applicabile, del suo rappresentante;
2. i dati di contatto del responsabile della protezione dei dati personali, ove applicabile;
3. le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
4. le categorie di dati personali in questione;
5. gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
6. ove applicabile, l’intenzione del titolare di trasferire dati personali al di fuori dell’Unione Europea;
7. il periodo di conservazione dei dati personali o, se non è possibile, i criteri utilizzati per determinare tale periodo;
8. gli eventuali legittimi interessi perseguiti dal titolare del trattamento o da terzi;
9. l’esistenza del diritto di chiedere al titolare di accedere ai propri dati, rettificarli o cancellarli, limitarne il trattamento ed opporsi ad esso nonché la loro portabilità;
10. qualora il trattamento si basi sul consenso prestato, l’esistenza del diritto di revocarlo in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;
11. il diritto di proporre reclamo all’autorità di controllo;
12. la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;
13. l’esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno, in tali casi, informazioni significative sulla logica utilizzata nonché l’importanza e le conseguenze previste per l’interessato.

Il Titolare deve fornire all’interessato dette informazioni entro un termine ragionevole e, comunque, entro un mese dalla raccolta oppure al momento della comunicazione dei dati ad esso o a terzi.

Il caso

Nel caso in esame la società sanzionata – che offre supporto decisionale sotto forma di business digitale, marketing e informazioni creditizie – ha elaborato i dati molte persone fisiche (imprenditori), a loro insaputa.

Gli interessati non sono stati informati del trattamento dei loro dati e, quindi, sono stati privati della possibilità di esercitare i propri diritti ai sensi del GDPR. Gli stessi non hanno avuto la possibilità di opporsi all’ulteriore elaborazione dei loro dati, per chiederne la cancellazione o la rettifica.

In particolare, la società ha fornito le informazioni di cui all’art. 14 del GDPR solo alle persone di cui aveva un indirizzo e-mail. Nei confronti delle altre, invece, non ha rispettato l’obbligo informativo, a causa (per sua stessa ammissione) degli “elevati costi operativi” che avrebbe dovuto sopportare nell’inviare loro l’informativa per raccomandata, limitandosi a pubblicare l’informativa privacy sul suo sito web.

Secondo il presidente dell’UODO la società, disponendo sia degli indirizzi postali che dei numeri di telefono di dette persone, ben avrebbe dovuto adempiere in tal modo all’obbligo informativo nei loro confronti. Le disposizioni del GDPR, infatti, non impongono al titolare del trattamento di inviare l’informativa “per raccomandata”.

Il presidente dell’UODO, dunque, ha ritenuto la violazione della società intenzionale, proprio perché la stessa era consapevole dell’obbligo di fornire informazioni pertinenti nonché della necessità di informare direttamente le persone.

Nell’infliggere la sanzione, l’UODO ha anche tenuto conto del fatto che la società non avesse intrapreso alcuna azione (correttiva) per porre fine all’infrazione, né avesse dichiarato la propria intenzione di farlo.

In conclusione, l’UODO ha considerato tale violazione molto grave poiché “riguarda i diritti e le libertà fondamentali delle persone, i cui dati sono trattati dalla società e si riferiscono alla questione di base: le informazioni da fornire all’interessato riguardanti il trattamento dei suoi dati personali. Imporre la multa è necessario, perché il controllore non è conforme alla legge”.

Considerazioni

Si tratta di una importante pronuncia atteso che (i) la sanzione deriva dalla violazione di una normativa Europea (applicabile come noto anche nel nostro ordinamento) in materia di protezione dei dati personali e non nazionale e (ii) evidenzia un errore in termini di compliance aziendale. Ciò in quanto la società non aveva adempiuto all’onere sulla stessa gravante, omettendo di informare gli interessati in merito al trattamento dei loro dati.

Notizie correlate:

Licenziamento collettivo e criteri di scelta

Linee Guida del Comitato Europeo per la Protezione dei Dati sull’applicazione territoriale del GDPR