NEWS

Se gli utenti non possono revocare facilmente il consenso scatta la sanzione

Quando riceviamo mail pubblicitarie o veniamo contattati nell'ambito di campagne di marketing e domandiamo agli operatori come abbiano ottenuto i nostri dati personali, spesso ci troviamo di fronte ad un muro di gomma, e la risposta che riceviamo è che "abbiamo dato il consenso", come se per il fatto che se in una certa occasione di cui neanche abbiamo ricordo abbiamo dato un consenso più o meno consapevole avessimo firmato una condanna ad essere perseguitati vita natural durante da spam e promozioni aggressive.


D'altra parte, una norma che ancora non viene ancora applicata diffusamente ma che ci offre un'importante tutela è quella prevista dall'art.7 paragrafo 3 del Gdpr, dove viene prescritto che "l'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento" e che esso è "revocato con la stessa facilità con cui è accordato".

Proprio in base a tale principio, il Garante per la Privacy polacco (UODO) ha inflitto una sanzione di oltre 201mila złoty (pari a circa 47mila euro) alla società ClickQuickNow con sede legale a Varsavia, la quale aveva ostacolato l'esercizio del diritto di revoca del consenso a degli utenti che non erano suoi clienti e per cui non sussisteva neanche un'altra valida base giuridica per trattarne i dati personali, violando inoltre anche il dovere di agevolare l'esercizio dei diritti dell'interessato a cui era tenuta ai sensi dell'art.12 paragrafo 2 del Regolamento Europeo.

Secondo l'Autorità polacca, la ClickQuickNow non aveva implementato adeguate misure tecniche ed organizzative per consentire la revoca in modo semplice ed efficace del consenso e l'esercizio del diritto di richiedere la rimozione dei dati personali (il cosiddetto diritto all'oblio), violando così i principi di liceità, correttezza e trasparenza che sono alla base del Gdpr (Art.5).

Come spiega l'UODO nella sua decisione, il meccanismo di revoca del consenso della società è stata ritenuto inefficace, in quanto consisteva nell'utilizzo di un collegamento riportato nel contenuto delle informazioni commerciali, che però era tutt'altro che rapido ed intuitivo, in quanto dopo aver attivato il link i messaggi indirizzati all'utente erano fuorvianti e contraddittori senza indicazioni chiare, impedendo di fatto all'interessato di proseguire e completare la procedura.

Giudicando palesemente intenzionale l'operato della ClickQuickNow, non solo l'Autorità ha accolto i reclami degli utenti imponendo una salata sanzione amministrativa alla società, ma ha anche ordinato a questa di conformarsi entro 14 giorni alle disposizioni del GDPR, cancellando inoltre i dati delle persone che, non essendo clienti, avevano richiesto la cessazione del trattamento dei loro dati personali.

Note Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Le mani di Google sui dati sanitari di milioni di ignari cittadini americani
Next Data Breach: valutazione e procedura di gestione

Privacy Officer: come si svolgono gli esami di Certificazione TÜV

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'informativa privacy