L’Autorità polacca per la protezione dei dati personali (UODO) ha sanzionato una società per aver omesso di informare circa sei milioni di persone riguardo al trattamento ai fini commerciali dei loro dati tratti da fonti accessibili al pubblico. Agli interessati è stato così precluso la possibilità di esercitare i diritti loro riconosciuti dal GDPR, tra cui in primis quello di opposizione. La vicenda è meritevole di attenzione poiché la multa di 943.000 zloty polacchi, pari a circa 220.000 euro, non è stata comminata per violazione di una normativa locale, nel caso di specie quella polacca, bensì per mancato rispetto del Regolamento europeo e, in particolare, dell’obbligo di informazione sancito all’art. 14 del testo.
A ben vedere, la società polacca ha adempiuto al predetto obbligo di informazione di cui all’art. 14 del GDPR solo nei confronti delle persone di cui aveva a disposizione gli indirizzi e-mail. Per tutti gli altri soggetti ha ritenuto di poter assolvere detto obbligo informativo tramite un’apposita clausola pubblicata sul proprio sito web. Tuttavia, tale modalità di procedere è stata ritenuta insufficiente dall’Autorità privacy polacca, poiché, la società, al fine di assolvere l’obbligo informativo cui era tenuta, avrebbe dovuto comunicare direttamente agli interessati i loro dati personali, la fonte degli stessi, lo scopo e il periodo del trattamento previsto, nonché i diritti loro spettanti ai sensi del GDPR.
A fronte della difesa svolta dalla società, il Garante polacco privacy nel proprio provvedimento specifica che le disposizioni del regolamento europeo non impongono al titolare del trattamento l’obbligo di inviare agli interessati le informazioni tramite raccomandata, modalità quest’ultima eccepita dalla società e ritenuta troppo onerosa dalla stessa. Nel caso in questione, continua il Garante privacy, la società aveva indirizzi postali e numeri di telefono e poteva quindi attivarsi per rispettare l’obbligo di fornire le informazioni alle persone.
In conclusione, l’UODO ha ritenuto molto grave la condotta punita, tantoché, il cospicuo ammontare della sanzione trova giustificazione non solo nel carattere intenzionale della violazione (la società difatti era a conoscenza dell’obbligo di fornire informazioni in modo diretto alle persone), ma anche nel comportamento per niente collaborativo tenuto successivamente dalla società per porre rimedio all’infrazione.
