Il Garante per la Privacy polacco ha inflitto una sanzione alla ClickQuickNow di Varsavia

E’ notizia recente che il Garante per la Privacy polacco ha inflitto una sanzione di oltre 201mila złoty (pari a circa 47mila euro) alla società ClickQuickNow di Varsavia, per aver ostacolato l’esercizio del diritto di revoca del consenso a degli utenti che non erano suoi clienti e per cui non sussisteva neanche un’altra valida base giuridica per trattarne i dati personali, violando inoltre anche il dovere di agevolare l’esercizio dei diritti dell’interessato a cui era tenuta ai sensi dell’art.12 paragrafo 2 del Regolamento Europeo.

Il principio alla base di detta sanzione è quello previsto dall’art.7 paragrafo 3 del Gdpr, ai sensi del quale “l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento” e deve essere “revocato con la stessa facilità con cui è accordato“.

Secondo l’Autorità polacca, la ClickQuickNow non aveva implementato adeguate misure del consenso e l’esercizio del diritto di richiedere la rimozione dei dati personali (il cosiddetto diritto all’oblio), violando così i principi di liceità, correttezza e trasparenza che sono alla base del Gdpr (Art.5).

Come spiega il Garante Polacco nella sua decisione, il meccanismo di revoca del consenso della società è stato ritenuto inefficace, in quanto consisteva nell’utilizzo di un collegamento riportato nel contenuto delle informazioni commerciali, che però era tutt’altro che rapido ed intuitivo, in quanto dopo aver attivato il link i messaggi indirizzati all’utente erano fuorvianti e contraddittori senza indicazioni chiare, impedendo di fatto all’interessato di proseguire e completare la procedura.

Giudicando palesemente intenzionale l’operato della ClickQuickNow, non solo l’Autorità ha accolto i reclami degli utenti imponendo una salata sanzione amministrativa alla società, ma ha anche ordinato a questa di conformarsi entro 14 giorni alle disposizioni del GDPR, cancellando inoltre i dati delle persone che, non essendo clienti, avevano richiesto la cessazione del trattamento dei loro dati personali.

La sanzione descritta rappresenta un segnale forte nei confronti dei Titolari del trattamento ed un ottimo parametro di valutazione dello stato della protezione dei dati in Europa. È auspicabile quindi che l’applicazione delle sanzioni serva da guida a tutti i Titolari, non solo quelli sanzionati, in modo da realizzare un’applicazione più coerente e concreta dei principi di protezione dei dati personali, così da raggiungere una comprensione piena e completa del concetto di accountability (responsabilizzazione).