Il Garante Polacco ha recentemente affrontato e sanzionato un caso abbastanza frequente anche nelle nostre aziende italiane: l’interesse di voler utilizzare dati non raccolti presso l’interessato ma acquisiti da terzi soggetti pubblici o privati (esempio da parte di un registro pubblico).
In tale caso, si applica quanto previsto dall’articolo 14 del Regolamento UE 2016/679 e, quindi, l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (NON della registrazione) dei dati (a terzi o all’interessato) diversamente da quanto prevede attualmente l’art. 13, comma 4, del Codice.
La non corretta applicazione dell’articolo 14 del Regolamento UE 2016/679 è costata ad una società polacca un’ammenda pari a 220.000 euro applicata dall’Autorità polacca per la protezione dei dati personali (UODO).
L’azienda polacca in questione ha, secondo quanto asserisce l’UODO, mancato di informare parecchi milioni di utenti riguardo al trattamento dei loro dati personali raccolti da pubblici registri. E’ importante notare che la multa è stata comminata non per la violazione di leggi nazionali polacche ma appunto per la violazione del Regolamento UE 2016/679 e perciò potrebbe interessare e costituire precedente anche per molte aziende italiane.
In particolare, l’azienda sanzionata avrebbe elaborato i dati personali dei propri utenti senza informare, in sede di raccolta, gli stessi del trattamento a cui i dati sarebbero stati destinati. Veniva così meno uno dei diritti fondamentali degli interessati sanciti nel GDPR: quello di opposizione.
Nello specifico l’azienda sanzionata avrebbe informato solo gli utenti di cui disponeva degli indirizzi e-mail ignorando completamente quelli di cui non disponeva di tale dato. Ne sarebbe risultata la totale mancanza di informazione per quelle persone fisiche che svolgono attività commerciali.
Alcune considerazioni sulla fattispecie sanzionata.
Per prima cosa si trattava di dati acquisiti da registri pubblici, non quindi acquisiti presso l’interessato del trattamento, il Garante Polacco quindi non si sofferma sulla base giuridica e sull’assenza del consenso, bensì sulla circostanza che gli interessati non erano stati correttamente informati secondo la procedura dell’articolo 14.
Interessante anche il fatto, che non ha costituito attenuante la circostanza che l’azienda a sua discolpa portasse il fatto che l’eventuale invio della informativa tramite raccomandata cartacea fosse ritenuta economicamente troppo onerosa per se stessa.
Al contrario ciò è stata valutata come una aggravante per la società multata perché indicativo della consapevolezza dei suoi obblighi di legge.