Belgio – Società multata per acquisizione di banca dati di marketing diretto in contrasto con i principi del GDPR

La pubblica autorità belga ha multato una società di 10.000 euro per una banca dati acquistata e utilizzata per scopi di marketing diretto, contestando la condotta illegale e  di non aver informato gli interessati sui dati raccolti indirettamente da loro nonché  di non aver risposto alla richiesta di accesso di un interessato.

La suddetta pubblica autorità ha ritenuto che questo fosse un  caso principe per il GDPR.

Infatti, quando i dati personali non sono ricevuti direttamente dagli interessati, gli stessi devono essere informati dal responsabile del trattamento, al più tardi entro un mese dal ricevimento dei dati personali o dall’inizio del contatto. In questo frangente è irrilevante il modo in cui i dati sono stati raccolti. Le eccezioni a questo devono essere interpretate in modo molto ristretto, poiché la trasparenza è centrale nel diritto dell’UE.

Il responsabile del trattamento ha quindi l’obbligo di fornire all’interessato le informazioni di cui all’articolo 12, paragrafo 3, entro un mese dal ricevimento della richiesta, di informare l’interessato sul trattamento dei suoi dati personali di cui all’articolo 15 GDPR, sulle misure adottate in risposta alla richiesta e sulle modalità del trattamento, sul trattamento dei suoi dati personali, sulle misure adottate a seguito dell’esercizio del diritto di opposizione di cui all’articolo 21, paragrafo 2, e sull’esercizio del diritto alla cancellazione di cui all’articolo 17 GDPR.

Inoltre, si deve informare gli interessati sul periodo di conservazione dei loro dati personali, o sui criteri utilizzati per determinare tale periodo. I dati personali non possono più essere trattati per scopi di marketing diretto ai sensi dell’articolo 21, paragrafo 3, se l’interessato si è opposto a tale trattamento. Solo se si trattano gli stessi dati per una finalità diversa e su una base legittima distinta, può conservare i dati.

La pubblica autorità ha poi affermato che l’articolo 24 GDPR pone l’obbligo per il responsabile del trattamento di attuare misure tecniche e organizzative adeguate per garantire che il suo trattamento avvenga nel rispetto del GDPR. In quanto tale, il convenuto avrebbe dovuto assicurarsi che il database che ha acquistato è stato raccolto in modo legale e conforme. Il convenuto non ha agito in maniera diligente.

L’autorità per la protezione dei dati ha anche affermato che, in base all’articolo 12(4), il convenuto era obbligato a informare il denunciante entro 30 giorni sulla sua decisione e sul motivo per cui non avrebbe fornito le informazioni richieste.

Sulla base di quanto sopra, l’autorità per la protezione dei dati afferma che ignorare una richiesta dell’interessato per due volte costituisce un’aggravante. Tuttavia, il convenuto ha cancellato i dati personali del ricorrente e ha informato il ricorrente, anche se in ritardo. Questo può essere visto come un fattore attenuante.

La pubblica autorità ritiene che il convenuto abbia agito in violazione dell’articolo 14(1), dell’articolo 14(2), dell’articolo 14(3), dell’articolo 15 GDPR, dell’articolo 17(1)(c) e dell’articolo 21(2) in combinazione con l’articolo 12(3) e gli impone una multa di 10.000 euro, oltre ad ordinargli di garantire che le sue pratiche siano conformi agli articoli di cui sopra entro 30 giorni dalla presente decisione.

Leave a Comment

Il tuo indirizzo email non sarà pubblicato.