Sei milioni di persone non erano state informate riguardo al trattamento dei loro dati: così l’UODO, l’autorità polacca per la protezione dei dati personali, ha inflitto a una società una sanzione da 943.000 zloty polacchi, pari a 220.000 euro, rilevando la violazione del GDPR.
La vicenda è rilevante – e da studiare anche per le aziende italiane – nell’ambito della privacy europea perché la multa è stata comminata non per irregolarità nell’ambito della normativa locale di un Paese, ma per non aver rispettato il Regolamento europeo, nello specifico l’articolo 14 del testo. “Una sanzione significativa – commenta a Cybersecurity360.it Francesco Pizzetti, giurista ed ex Garante della privacy italiano -. Abbiamo bisogno che i dati circolino, perché solo così l’economia digitale può crescere in Europa – ed è proprio questo uno dei fini del Gdpr; ma devono essere protetti e bisogna garantire il loro controllo da parte degli interessati”.
Indice degli argomenti
La multa dell’autorità polacca
In una nota ufficiale dell’EDPB – European Data Protection Board, il presidente dell’autorità polacca Edyta Bielak-Jomaa ha commentato: “Il responsabile del trattamento era consapevole del suo obbligo di fornire informazioni. Di qui la decisione di infliggere un’ammenda di questo importo”. L’azienda sanzionata aveva elaborato i dati personali di persone che non erano a conoscenza di questo fatto. Il responsabile del trattamento non aveva informato gli interessati, precludendo loro la possibilità di esercitare i loro diritti previsti dal GDPR, tra cui quello di opposizione. I dati sono stati trattati a fini commerciali e provenivano da fonti accessibili al pubblico.
L’UODO ha ritenuto molto grave la violazione, in quanto andava a colpire i diritti e le libertà delle persone coinvolte. Nella nota ufficiale EDPB, Piotr Drobek, direttore del dipartimento di analisi e strategia dell’UODO, ha riferito che su “circa 90.000 persone informate sul trattamento da parte dell’azienda, più di 12.000 si sono opposti al trattamento dei loro dati. Questo dimostra quanto sia importante adempiere correttamente agli obblighi di informazione per poter esercitare i diritti che ci spettano in conformità con il GDPR”.
La causa: “Elevati costi operativi”
Secondo l’UODO, la società era consapevole dell’obbligo di fornire informazioni direttamente alle persone, è stato constatato anche che il responsabile del trattamento non ha intrapreso alcuna azione per porre fine all’infrazione. Nello specifico, l’autorità polacca ha rilevato come la società non avesse osservato l’obbligo di informazione verso le persone fisiche che svolgono un’attività commerciale: il responsabile del trattamento ha adempiuto all’obbligo di informazione fornendo le informazioni richieste solo alle persone di cui disponeva della e-mail. Per quanto riguarda gli altri, il responsabile del trattamento non ha rispettato l’obbligo di informazione per gli elevati costi operativi. Così, la società ha presentato la clausola informativa solo sul suo sito web.
Un gesto ritenuto insufficiente dall’UODO, perché come segnalato dall’EDPB “il responsabile del trattamento avrebbe dovuto adempiere all’obbligo di informazione informando le persone sui loro dati, sulla fonte dei loro dati, sullo scopo e sul periodo del trattamento previsto, nonché sui diritti delle persone interessate ai sensi del GDPR”. Un’azione che non necessariamente deve essere svolta tramite raccomandata, la scusa usata dalla società per evidenziare come potesse essere troppo oneroso il compito. Ma l’azienda disponeva sia degli indirizzi che dei numeri di telefono, quindi poteva attivarsi.
Pizzetti: “Provvedimento importante”
Come sottolinea Francesco Pizzetti, la sanzione è stata fatta “per una chiara violazione dell’articolo 14 del GDPR, perché non è stato consentito agli interessati di esercitare i loro diritti, i quali presuppongono che gli interessanti siano informati”. Il provvedimento dell’UODO “è importante perché basato sulla violazione del GDPR, non della legge polacca precedente. L’autorità polacca si inserisce tra le autorità che iniziano a sanzionare per le violazioni più gravi al regolamento europeo che riscontrano. Ci si augura che questo si diffonda presto in tutta l’Unione europea e si ricorra anche dove necessario al metodo sanzionatorio”.
Pizzetti ha sottolineato come il GDPR rappresenti “un delicato equilibrio tra la tutela dei trattamenti dei dati personali per garantire i diritti fondamentali dei cittadini europei e l’assoluta necessità di implementare la libera circolazione dei dati”. La possibilità di comunicare a terzi i dati esiste, anche senza consenso degli interessati (novità introdotta dal Gdpr appunto per sostenere l’economia digitale che di questa disponibilità di dati si nutre), ma “bisogna garantire sempre agli interessati il controllo. L’autorità polacca punisce proprio il mancato rispetto di questo principio, perché senza informazione non c’è controllo”.
