Le poste austriache devono pagare un multa record di 18 milioni di euro per l’ingiustificato trattamento dei dati personali di diversi milioni di cittadini austriaci.
Indice degli argomenti
Ammenda per attività di data trading
Il motivo dell’ammenda è l’attività di data trading portata avanti dalla società postale Österreichische Post AG, a partecipazione statale, diventata nota all’inizio dell’anno e che, a quanto pare, l’azienda conduce da anni.
La società avrebbe raccolto informazioni suoi clienti inerenti, ad esempio, all’età, alla situazione familiare e addirittura alla frequenza con cui gli interessati ricevono pacchi per acquisti online. Per 2,2 milioni di austriaci è stata addirittura effettuata una valutazione di “affinità” con alcuni partiti politici e i risultati ottenuti sono stati poi rivenduti.
La società postale aveva difeso il suo operato dichiarando che i dati non erano necessariamente “esatti”, ma piuttosto derivati da altre informazioni, come le proiezioni dopo le elezioni.
A seguito di un’audizione, l’autorità competente per la protezione dei dati in Austria (DSB) ha invece ritenuto che la società Österreichische Post AG ha violato la normativa GDPR sulla protezione dei dati elaborando i dati personali dei suoi clienti al fine di determinare la loro presunta affinità politica.
Inoltre, è stata constatata un’infrazione a causa di un trattamento dei dati personali non autorizzato da parte dei clienti di Post AG ai fini di una campagna di marketing diretto.
“Queste violazioni sono state commesse in modo illegale e colpevole”, recita un comunicato della stessa Autorità per la protezione dei dati austriaca.
La piattaforma di ricerca “Addendum” che ha portato il caso davanti alla DPA austriaca (Austrian Data Protection Authority) ha inoltre comunicato che le poste austriache dovranno pagare oltre alla sanzione anche 1,8 milioni di euro di spese legali.
GDPR: una nuova multa record in Europa
Visto l’importo particolarmente elevato, la sanzione inflitta alle poste austriache rientra a buon diritto tra le multe più alte inflitte in Europa per violazione del GDPR.
Dall’entrata in vigore del Regolamento generale sulla protezione dei dati dell’UE ci sono state solo tre sanzioni più elevate:
- 205 milioni di euro contro British Airways
- 110 milioni di euro contro Marriott
- 50 milioni di euro contro Google
L’importo della sanzione di 18 milioni di euro può essere spiegato dall’elevato numero di vittime e dal fatturato delle poste austriache. Che, a loro volta, attraverso un comunicato stampa hanno fatto sapere di ritenere la decisione dell’autorità austriaca competente per la protezione dei dati “sbagliata nel contenuto e che la sentenza è completamente esagerata”.
“Abbiamo sempre sottolineato che le previsioni sulle preferenze politiche sono estrapolazioni statistiche piuttosto che dati personali effettivi”. Inoltre, sempre secondo Post AG, questa decisione porta a una disparità di trattamento tra la società postale tradizionale e l’elaborazione dei dati da parte di società Internet.
La società ha inoltre annunciato l’intenzione di presentare ricorso contro la decisione, che pertanto non è ancora definitiva.
