L’autorità polacca per la protezione dei dati ha multato il sito ClickQuickNow per aver violato il GDPR, imponendo agli utenti una procedura troppo difficile per revocare il consenso al trattamento dei dati. La sanzione ammonta a 47.126,97 euro.
Indice degli argomenti
Le irregolarità
Il processo di revoca del consenso realizzato dal sito internet richiedeva alla persona che presenta la dichiarazione di revoca del consenso di indicare il motivo della sua richiesta. Solo a seguito di ciò l’azienda ha informato la persona su come revocare il consenso. L’autorità di protezione dei dati ha contestato una serie di aspetti:
- l’incompatibilità con l’articolo 7 e l’articolo 3 GDPR secondo il quale il ritiro del consenso dovrebbe essere facile come la sua espressione – al contrario, ha utilizzato soluzioni organizzative e tecniche complesse per ritirare il consenso. Inoltre, la società non ha agevolato l’esercizio dei diritti delle persone i cui dati sono stati trattati, come richiesto dall’art. 12 paragrafo 2
- il meccanismo di revoca del consenso utilizzata dalla società ClickQuickNow, che è consistito nell’utilizzare un link di collegamento contenuto nelle informazioni commerciali, non ha comportato un rapido ritiro del consenso. Dopo aver avviato il collegamento infatti, i messaggi indirizzati all utente interessato a revocare il consenso l’hanno fuorviata.
- La richiesta della motivazione. La società infatti ha costretto a fornire il motivo del ritiro del consenso e il GDPR non lo richiede. La mancanza di indicazione del motivo comportava poi l’interruzione del processo di revoca del consenso.
La decisione dell’autorità
Nella decisione, l’Autorità garante per la protezione dei dati ha anche indicato che la società ha elaborato senza motivi legali i dati di persone che non sono suoi clienti e da cui ha ricevuto richieste di interrompere il trattamento dei propri dati personali. Quindi, ha anche violato il cosiddetto il diritto all’oblio.
Nel determinare l’importo dell’ammenda amministrativa, l’Ufficio preposto non ha tenuto conto di circostanze attenuanti che incidono sull’ultima pena. Ha inoltre riconosciuto che l’operazione della Società era intenzionale, poiché fornire una persona interessata a ritirare il consenso con messaggi contraddittori ha comportato l’inefficacia del ritiro del consenso. In questo modo, la società ha ostacolato o addirittura impedito l’esercizio dei diritti degli interessati. L’Autorità garante quindi non ha solo imposto una sanzione finanziaria alla società, ma ha anche ordinato di adattare alle disposizioni del GDPR il processo di gestione delle domande di revoca del consenso al trattamento dei dati. ClickQuickNow ora ha 14 giorni per farlo dal giorno in cui è stata presa la decisione. La società deve anche cancellare i dati delle persone che non sono i suoi clienti e ha richiesto la cessazione del trattamento dei loro dati personali.
Lo scenario
Si badi che questa società polacca non è l’unica organizzazione alle prese con il concetto di consenso e revoca con il GDPR. Il consenso non è affatto una bacchetta magica che può essere utilizzata per elaborare dati personali. In realtà è molto di più: ovvero la base legale su cui si fa affidamento solo quando non si ha altra scelta.
Garantire un’adeguata gestione del consenso all’interno delle organizzazioni può essere complicato e, se fatto in modo errato, può portare non solo ad azioni di controllo, ma anche a cittadini, clienti o clienti infelici.
