news a cura di

Uno dei più tangibili oneri, gravante sul titolare del trattamento, scaturenti dall’obbligo di adeguamento alla nuova normativa europea sulla protezione dei dati personali (GDPR) è la redazione (o l’aggiornamento), e la successiva somministrazione alle persone interessate da un trattamento di dati personali di una ‘informativa sulla privacy’, che rispetti le prescrizioni di contenuto stabilite dal nuovo Regolamento.

Declinazione del fondamentale principio di trasparenza, l’informativa costituisce lo strumento deputato ad assolvere all’obbligo di comunicare all’interessato, in forma concisa e facilmente intellegibile, la nutrita serie di informazioni individuate dagli artt. 13 e 14 del GDPR,  differenziate a seconda, rispettivamente, che i dati personali siano stati raccolti presso l’interessato (ad es. attraverso la compilazione di un modulo di registrazione clienti su un sito web di e-commerce) oppure ottenuti dal titolare del trattamento in altro modo (ad es., ove i dati siano stati ricevuti a seguito di comunicazione proveniente da un altro titolare del trattamento, oppure estratti da un pubblico registro).

Le stesse norme stabiliscono un novero tassativo di ipotesi in cui il titolare del trattamento è esentato dal fornire tali informazioni. L’inadempimento dell’obbligo di informare gli interessati può avere conseguenze piuttosto gravi per il titolare del trattamento.

L’Autorità di controllo polacca (noto come UODO) ha recentemente reso noto di aver irrogato una sanzione di 200.000 euro ad una società (per ora rimasta anonima), riconosciuta colpevole di aver trattato per finalità commerciali i dati personali di un vastissimo novero di persone interessate – oltre 6 milioni, in maggior parte imprenditori individuali – senza aver comunicato loro alcuna delle informazioni previste dal GDPR.

In particolare, l’Autorità ha ritenuto che la società, avendo a disposizione gli indirizzi di posta ed i numeri telefonici degli interessati, avrebbe potuto attivarsi per rendere le informazioni previste dal GDPR, non costituendo valida esimente – come pur sostenuto dalla società – gli alti costi operativi pretesamente addotti dalla società che sarebbero derivati dall’invio di raccomandate ad ogni singolo interessato.

Nella determinazione della sanzione, ha pesato sia la circostanza che la società  fosse ben consapevole dei propri obblighi, ma abbia deliberatamente scelto di ignorarli, sia la mancata adozione di alcuna misura volta a rimediare al trattamento illecito.

Il messaggio dell’Autorità garante è molto chiaro: l’informazione sul trattamento di dati personali è un diritto (e un obbligo) fondamentale, e le sanzioni per la sua violazione dolosa non possono che essere particolarmente severe.

news a cura di