Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La riflessione

GDPR, multato un sito polacco: troppo difficile revocare il consenso al trattamento dei dati

L’Autorità polacca per la protezione dei dati ha sanzionato il sito ClickQuickNow per 47.126,97 euro: il processo per la revoca del consenso al trattamento dei dati sul sito era troppo complesso. Ecco tutti i dettagli e quale lezione possono trarre le aziende italiane da quanto accaduto

18 Nov 2019
V
Nicola Vanin

Data Governance & Information Security Senior Manager


L’autorità polacca per la protezione dei dati ha multato il sito ClickQuickNow per aver violato il GDPR, imponendo agli utenti una procedura troppo difficile per revocare il consenso al trattamento dei dati. La sanzione ammonta a 47.126,97 euro.

Le irregolarità

Il processo di revoca del consenso realizzato dal sito internet richiedeva alla persona che presenta la dichiarazione di revoca del consenso di indicare il motivo della sua richiesta. Solo a seguito di ciò l’azienda ha informato la persona su come revocare il consenso. L’autorità di protezione dei dati ha contestato una serie di aspetti:

  • l’incompatibilità con l’articolo 7 e l’articolo 3 GDPR secondo il quale il ritiro del consenso dovrebbe essere facile come la sua espressione – al contrario, ha utilizzato soluzioni organizzative e tecniche complesse per ritirare il consenso. Inoltre, la società non ha agevolato l’esercizio dei diritti delle persone i cui dati sono stati trattati, come richiesto dall’art. 12 paragrafo 2
  • il meccanismo di revoca  del consenso utilizzata dalla società  ClickQuickNow, che è consistito nell’utilizzare un link di  collegamento contenuto nelle informazioni commerciali, non ha comportato un rapido ritiro del consenso. Dopo aver avviato il collegamento infatti, i messaggi indirizzati all utente interessato a revocare il consenso l’hanno fuorviata.
  • La richiesta della motivazione. La società infatti  ha costretto a fornire il motivo del ritiro del consenso e il GDPR non lo richiede. La mancanza di indicazione del motivo comportava poi  l’interruzione del processo di revoca del consenso.

La decisione dell’autorità

Nella decisione, l’Autorità garante per la protezione dei dati ha anche indicato che la società ha elaborato senza motivi legali i dati di persone che non sono suoi clienti e da cui ha ricevuto richieste di interrompere il trattamento dei propri dati personali. Quindi, ha anche violato il cosiddetto il diritto all’oblio.

Nel determinare l’importo dell’ammenda amministrativa, l’Ufficio preposto non ha tenuto conto di circostanze attenuanti che incidono sull’ultima pena. Ha inoltre riconosciuto che l’operazione della Società era intenzionale, poiché fornire una persona interessata a ritirare il consenso con messaggi contraddittori ha comportato l’inefficacia del ritiro del consenso. In questo modo, la società ha ostacolato o addirittura impedito l’esercizio dei diritti degli interessati. L’Autorità garante quindi  non ha solo imposto una sanzione finanziaria alla società, ma ha anche ordinato di adattare alle disposizioni del GDPR il processo di gestione delle domande di revoca del consenso al trattamento dei dati. ClickQuickNow ora ha 14 giorni per farlo dal giorno in cui è stata presa la decisione. La società deve anche cancellare i dati delle persone che non sono i suoi clienti e ha richiesto la cessazione del trattamento dei loro dati personali.

Lo scenario

Si badi che questa società polacca non è l’unica organizzazione alle prese con il concetto di consenso e revoca con il GDPR. Il consenso non è affatto una bacchetta magica che può essere utilizzata per elaborare dati personali. In realtà è molto di più: ovvero la base legale su cui si fa affidamento solo quando non si ha altra scelta.

Garantire un’adeguata gestione del consenso all’interno delle organizzazioni può essere complicato e, se fatto in modo errato, può portare non solo ad azioni di controllo, ma anche a cittadini, clienti o clienti infelici.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5