Polonia, l'autorità per la privacy infligge la sua prima multa per violazione del Gdpr
L’autorità polacca per la protezione dei dati personali (Uodo) ha imposto la sua prima sanzione con il Gdpr per un importo di 943.000 zloty polacchi (circa 220.000 euro) per il mancato adempimento dell'obbligo di informazione. Lo rende noto l'European Data Protection Board (Edpb) sul proprio sito istituzionale.
"Il titolare del trattamento (data controller) era consapevole dell'obbligo di fornire le informazioni. Da qui la decisione di imporre un'ammenda di questa entità", ha sottolineato il presidente dell’autorità polacca Edyta Bielak-Jomaa, presidente dell'Uodo.
L’azienda sanzionata aveva elaborato i dati personali di persone che non erano a conoscenza di questo fatto. Il titolare del trattamento non li ha informati del trattamento e quindi li ha privati della possibilità di esercitare i propri diritti ai sensi del Gdpr.
Pertanto, gli interessati non hanno avuto la possibilità di opporsi all'ulteriore elaborazione dei loro dati personali, per richiedere la loro rettifica o cancellazione.
Il Presidente dell'autorità polacca ha considerato la violazione come grave, "dal momento che riguarda i diritti e le libertà fondamentali delle persone, i cui dati sono trattati dalla società e si riferiscono alla questione di base: le informazioni da fornire all'interessato riguardanti il trattamento dei suoi dati personali. Imporre la multa è necessario, perché il controllore non è conforme alla legge".
Come ha spiegato Piotr Drobek, direttore del dipartimento analisi e strategia dell'Uodo, la società non ha rispettato l'obbligo di informazione in relazione a oltre 6 milioni di persone. Su circa 90.000 persone che sono state informate del trattamento da parte dell'azienda, oltre 12.000 si sono opposte al trattamento dei loro dati.
Ciò dimostra quanto sia importante adempiere correttamente agli obblighi di informazione al fine di esercitare i diritti a cui abbiamo diritto in conformità con il Gdpr.
La decisione del presidente dell'Uodo riguardava i procedimenti relativi all'attività di una società che trattava i dati degli interessati da fonti accessibili al pubblico, tra l'altro dal registro elettronico centrale e informazioni sull'attività economica, e trattava i dati a fini commerciali.
L'autorità ha verificato l'inosservanza dell'obbligo di informazione in relazione alle persone fisiche che svolgono attività imprenditoriale, imprenditori che attualmente conducono tale attività o l'hanno sospesa, nonché imprenditori che hanno svolto tale attività in passato.
Il titolare del trattamento ha adempiuto all'obbligo di informazione fornendo le informazioni richieste dagli articoli 14 (1) - (3) del Gdpr solo in relazione alle persone di cui aveva a disposizione gli indirizzi e-mail.
Nel caso delle restanti persone, il titolare del trattamento non ha rispettato l'obbligo di informazione, come spiegato nel corso del procedimento, a causa degli elevati costi operativi. Pertanto, ha presentato la clausola informativa solo sul proprio sito web.
Secondo il parere dell'autorità polacca, tale azione era insufficiente, perché avrebbe dovuto adempiere all’obbligo di informazione informando le persone sui loro dati personali, sulla fonte dei loro dati, sullo scopo e sul periodo del trattamento previsto, nonché sui diritti delle persone interessate ai sensi del Gdpr.
Secondo l'Uodo, le disposizioni non impongono al titolare del trattamento l'obbligo di inviare agli interessati tali informazioni per posta raccomandata, modalità che la società aveva sostenuto di non aver potuto utilizzare per adempiere all'obbligo perché troppo onerosa. Nel caso in questione, infatti la società aveva indirizzi postali e numeri di telefono, e poteva quindi attivarsi per rispettare l'obbligo di fornire le informazioni alle persone.
Pertanto, questo caso dovrebbe essere distinto da un altro deciso dal garante polacco alcuni anni fa, quando un'altra società non aveva a disposizione tali indirizzi.
L'Uodo ha ritenuto che la violazione del titolare del trattamento fosse intenzionale, poiché, come stabilito durante il procedimento, la società era a conoscenza dell'obbligo di fornire informazioni pertinenti, nonché della necessità di informare direttamente le persone.
Pur imponendo l'ammenda, l'autorità ha anche tenuto conto del fatto che il titolare del trattamento non ha intrapreso alcuna azione per porre fine all'infrazione, né ha dichiarato la sua intenzione di farlo.