Le contestazioni del Garante

Le violazioni contestate dal Garante derivano da due episodi distinti.

1. Errore nella gestione dei consensi: un dipendente della società aveva trascritto in maniera errata i consensi forniti dagli utenti al momento della sottoscrizione del contratto di fornitura. Questo ha portato a due criticità principali:

• l'assenza di un sistema di verifica tra i consensi forniti e quelli registrati nei sistemi informatici aziendali;
• il trattamento dei dati personali senza un'adeguata base giuridica.

1. Campagna pubblicitaria su Facebook senza consenso: un'utente ha ricevuto comunicazioni commerciali nonostante non avesse mai attivato un account sulla piattaforma. Quando ha richiesto l'esercizio dei propri diritti previsti dal GDPR, la società non ha fornito riscontro, attribuendo la responsabilità dell'errore a un partner commerciale.

Le principali violazioni contestate

Durante l'istruttoria, il Garante ha evidenziato una serie di violazioni gravi del GDPR, tra cui:

• mancanza di accountability: la società non ha dimostrato di aver adottato misure adeguate per garantire la conformità al regolamento;
• assenza di base giuridica: il trattamento dei dati personali è stato effettuato senza una verifica adeguata dell'origine dei dati e senza il consenso esplicito degli interessati;
• violazione dei diritti degli interessati: la società non ha fornito riscontro alle richieste di esercizio dei diritti degli utenti, impedendo loro di gestire i propri dati personali.

Conseguenze e sanzione irrogata

A causa delle irregolarità riscontrate, il Garante ha deciso di infliggere una sanzione pecuniaria di oltre 800.000 euro. In particolare, la società è stata ritenuta responsabile di:

• aver trattato dati personali senza verificarne la legittimità;
• non aver implementato controlli efficaci sulla gestione dei consensi e sulle procedure di telemarketing;
• aver adottato un approccio meramente formale al rispetto delle norme, privo di un'effettiva strutturazione dei processi aziendali.

Lezioni per le aziende

Questo caso rappresenta un monito per tutte le aziende che trattano dati personali su larga scala. Alcuni punti chiave da tenere a mente sono:

• implementare sistemi di verifica dei consensi: le aziende devono assicurarsi che i consensi registrati corrispondano a quelli effettivamente forniti dagli utenti;
• gestire in modo efficace le richieste degli interessati: rispondere tempestivamente alle richieste di accesso, modifica o cancellazione dei dati personali è un obbligo imposto dal GDPR;
• monitorare i fornitori e i partner commerciali: la responsabilità della gestione dei dati non può essere delegata senza un controllo adeguato sulle attività dei partner;
• formare il personale: l'errore umano gioca un ruolo significativo nelle violazioni della privacy. I dipendenti devono essere formati adeguatamente per gestire i dati in conformità con la normativa.

Conclusione

La sanzione inflitta dal Garante dimostra quanto sia fondamentale per le aziende rispettare le normative sulla protezione dei dati. Un'adeguata gestione della privacy non solo evita sanzioni, ma tutela anche la fiducia dei clienti e la reputazione aziendale. Adottare misure preventive, come la revisione periodica dei processi e una formazione adeguata del personale, può fare la differenza tra una gestione efficace e una costosa sanzione.