Home » GDPR 679/2016 » Polonia prima multa per mancata Informativa sulla Privacy

Il Presidente dell’Ufficio per la protezione dei dati personali (UODO) ha imposto la sua prima ammenda per l’importo di 943 000 PLN (circa 220 000 EUR) per il mancato adempimento dell’obbligo di informazione.

– “Il responsabile era consapevole dell’obbligo di fornire informazioni. Da qui la decisione di imporre un’ammenda di questa somma a questa entità “, ha sottolineato la dott.ssa Edyta Bielak-Jomaa, presidente di UODO.

Molte persone i cui dati sono stati elaborati dalla società non erano a conoscenza di questo. Il responsabile del trattamento non li ha informati del trattamento e quindi li ha privati della possibilità di esercitare i propri diritti ai sensi del Regolamento generale sulla protezione dei dati (GDPR). Pertanto, non hanno avuto la possibilità di opporsi all’ulteriore elaborazione dei loro dati, per richiedere la loro rettifica o cancellazione. Il Presidente dell’Ufficio per la protezione dei dati personali ha considerato la violazione come grave, dal momento che riguarda i diritti e le libertà fondamentali delle persone, i cui dati sono trattati dalla società e si riferiscono alla questione di base: le informazioni sul trattamento dei dati. Imporre la multa è necessario, perché il controllore non è conforme alla legge.

Come ha spiegato Piotr Drobek, direttore del dipartimento Analisi e strategia dell’UODO, la società non ha rispettato l’obbligo di informazione in relazione a oltre 6 milioni di persone. Su circa 90.000 persone che sono state informate del trattamento da parte dell’azienda, oltre 12.000 si sono opposte al trattamento dei loro dati. Ciò dimostra quanto sia importante adempiere correttamente agli obblighi di informazione al fine di esercitare i diritti a cui abbiamo diritto in conformità con il GDPR.

La decisione del presidente dell’UODO riguardava i procedimenti relativi all’attività di una società che trattava i dati degli interessati da fonti accessibili al pubblico, tra l’altro dal registro elettronico centrale e informazioni sull’attività economica, e trattava i dati a fini commerciali. L’autorità ha verificato l’inosservanza dell’obbligo di informazione in relazione alle persone fisiche che svolgono attività imprenditoriale – imprenditori che attualmente conducono tale attività o l’hanno sospesa, nonché imprenditori che hanno svolto tale attività in passato. Il responsabile del trattamento ha adempiuto all’obbligo di informazione fornendo le informazioni richieste dall’art. 14 (1) – (3) del GDPR solo in relazione alle persone di cui aveva a disposizione gli indirizzi e-mail. Nel caso delle restanti persone, il responsabile del trattamento non ha rispettato l’obbligo di informazione – come spiegato nel corso del procedimento – a causa degli elevati costi operativi. Pertanto, ha presentato la clausola informativa solo sul suo sito web.

Secondo il parere del Presidente dell’Ufficio per la protezione dei dati personali, tale azione era insufficiente – pur avendo i dati di contatto a determinate persone, il responsabile del trattamento avrebbe dovuto adempiere all’obbligo di informazione in relazione ad essi, cioè avrebbe dovuto informarli tra l’altro di : i loro dati, la fonte dei loro dati, lo scopo e il periodo di elaborazione dei dati pianificati, nonché i diritti delle persone interessate ai sensi del GDPR.

Secondo il parere del Presidente dell’UODO, le disposizioni non impongono al responsabile del trattamento l’obbligo di inviare tale corrispondenza per posta raccomandata, che è stata sollevata dalla società come scusa per non aver adempiuto a un oneroso obbligo.

Nel caso in questione, l’entità aveva indirizzi postali e numeri di telefono e poteva quindi rispettare l’obbligo di fornire informazioni alle persone i cui dati sono in fase di elaborazione. Pertanto, questo caso dovrebbe essere distinto da un altro caso deciso dal DPA polacco alcuni anni fa, quando un’altra società non aveva a disposizione tali indirizzi.

Il presidente dell’Ufficio per la protezione dei dati personali ha ritenuto che la violazione del responsabile del trattamento fosse intenzionale, poiché – come stabilito durante il procedimento – la società era a conoscenza dell’obbligo di fornire informazioni pertinenti, nonché della necessità di informare direttamente le persone.

Pur imponendo l’ammenda, l’autorità ha anche tenuto conto del fatto che il responsabile del trattamento non ha intrapreso alcuna azione per porre fine all’infrazione, né ha dichiarato la sua intenzione di farlo.

Testo tradotto link all’originale https://edpb.europa.eu/news/national-news/2019/first-fine-imposed-president-personal-data-protection-office_en

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Name
Email
Website

PLUS S.a.s

Sede Legale: Via della Biscia, 174 - 35136 Padova (PD)
Sede Operativa: Via Sacro Cuore 5, 35135 Padova
P.I. e C.F. 04952220285

Resp. Commerciale

Dr.ssa Papa Serena
cell. 338-1348107
serena.papa@plussas.it

Resp. Tecnico

Ing. Urbani Pier Luigi
cell. 3483216178
pierluigi.urbani@plussas.it

Altri contatti

e-mail: info@plussas.it 
PEC: plus@pec.plussas.it