L'autorità per la privacy polacca infligge la prima multa per violazione del Gdpr

MILANO - L’autorità polacca per la protezione dei dati personali (Uodo) ha imposto la sua prima sanzione con il Gdpr per un importo di 943.000 zloty polacchi (circa 220.000 euro) per il mancato adempimento dell'obbligo di informazione. Lo rende noto l'European Data Protection Board (Edpb).

"Il titolare del trattamento (data controller) era consapevole dell'obbligo di fornire le informazioni. Da qui la decisione di imporre un'ammenda di questa entità", ha sottolineato il presidente dell’autorità polacca Edyta Bielak-Jomaa, presidente dell'Uodo.

L’azienda sanzionata aveva elaborato i dati personali di persone senza che queste ne fossero a conoscenza. Il titolare del trattamento non li aveva informati del trattamento, privandoli della possibilità di esercitare i propri diritti ai sensi del Gdpr. Gli interessati non hanno avuto la possibilità di opporsi all'ulteriore elaborazione dei loro dati personali, per richiedere la loro rettifica o cancellazione.

Il Presidente dell'autorità polacca ha considerato grave a violazione, "dal momento che riguarda i diritti e le libertà fondamentali delle persone, i cui dati sono trattati dalla società e si riferiscono alla questione di base: le informazioni da fornire all'interessato riguardanti il trattamento dei suoi dati personali. Imporre la multa è necessario, perché il controllore non è conforme alla legge".

Come ha spiegato Piotr Drobek, direttore del dipartimento analisi e strategia dell'Uodo, la società non ha rispettato l'obbligo di informazione in relazione a oltre 6 milioni di persone. Su circa 90.000 persone che sono state informate del trattamento da parte dell'azienda, oltre 12.000 si sono opposte al trattamento dei loro dati. Questo dimostra quanto sia importante adempiere correttamente agli obblighi di informazione al fine di esercitare i diritti a cui abbiamo diritto in conformità con il Gdpr.

La decisione del presidente dell'Uodo riguardava i procedimenti relativi all'attività di una società che trattava i dati degli interessati da fonti accessibili al pubblico, tra l'altro dal registro elettronico centrale e informazioni sull'attività economica, e trattava i dati a fini commerciali.

L'autorità ha verificato l'inosservanza dell'obbligo di informazione in relazione alle persone fisiche che svolgono attività imprenditoriale, imprenditori che attualmente conducono tale attività o l'hanno sospesa, nonché imprenditori che hanno svolto tale attività in passato.

Il titolare del trattamento ha adempiuto all'obbligo di informazione fornendo le informazioni richieste dagli articoli 14 (1) - (3) del Gdpr solo in relazione alle persone di cui aveva a disposizione gli indirizzi e-mail.

Nel caso delle restanti persone, il titolare del trattamento non ha rispettato l'obbligo di informazione, come spiegato nel corso del procedimento, a causa degli elevati costi operativi. Pertanto, ha presentato la clausola informativa solo sul proprio sito web.

L'Uodo ha ritenuto che la violazione del titolare del trattamento fosse intenzionale, poiché, come stabilito durante il procedimento, la società era a conoscenza dell'obbligo di fornire informazioni pertinenti, nonché della necessità di informare direttamente le persone.

Pur imponendo l'ammenda, l'autorità ha tenuto conto del fatto che il titolare del trattamento non ha intrapreso alcuna azione per porre fine all'infrazione, né ha dichiarato la sua intenzione di farlo.