Il titolare del trattamento dati ha l’obbligo di vigilare costantemente l’operato del Responsabile
Il Garante per la protezione dei dati personali, con ordinanza di ingiunzione del 25.11.2021, dichiarava responsabile la società B&T per aver contribuito al trattamento illecito di dati personali denunciato dal ricorrente. deshalb, il Garante irrogava nei confronti della società una sanzione amministrativa, sotto forma di ordinanza ingiunzione, di €.400.000,00 (quattrocentomila//00).
Index:
I fatti
Le violazioni contestate dall’Autorità
Le valutazioni del Garante
La decisione del Garante
1. I fatti
Il Garante per la protezione dei dati personali riceveva una nota di reclamo nella quale veniva denunciato il ricevimento di numerosi SMS indesiderati da parte di “Dorelan” e che il ricorrente era stato altresì impossibilitato ad esercitare a pieno i propri diritti di accesso ai dati e di opposizione all’invio.
insbesondere, il reclamante sosteneva di essersi rivolto alla B&T S.p.a., titolare del marchio “Dorelan”, la quale però si dichiarava estranea all’invio di quegli SMS, in quanto vi provvedeva una società terza, ossia la Aimon s.r.l.
der Antragsteller, dann, su indicazione di B&T, contattava la società Aimon al fine di esporre i fatti ed esercitare i propri diritti di accesso e opposizione. Quest’ultima società, jedoch, si qualificava come “responsabile esterno”, poiché sosteneva che, per la raccolta di contatti, la stessa si rivolgeva a società terze fornitrici di Database.
L’autorità Garante, deshalb, inviava alle due società menzionate una nota al fine di ottenere informazioni utili in merito al caso in questione.
Anche in sede di chiarimenti forniti al Garante, la B&T dichiarava di non essere nella disponibilità materiale dei dati, in quanto si era rivolta alla società Aimon, la quale avrebbe provveduto all’invio dei messaggi promozionali. Aimon, dann, nell’espletamento della sua funzione, utilizzava banche dati acquisite nel mercato. insbesondere, la Aimon sosteneva di aveva acquisito i dati dalla società Runwhip s.r.l.
Aimon e B&T assicuravano, auch, di aver preso atto dell’opposizione loro presentata dal reclamante. jedoch, il reclamante sosteneva di aver ricevuto successivamente ulteriori sms e aveva proceduto ad informare di tali episodi tutte e tre e le società nonché il Garante stesso.
A seguito delle successive note inviate alle società dall’Ufficio del Garante, B&T affermava di non aver agito in qualità di titolare del trattamento, in quanto il servizio promozionale tramite invio di SMS era stato affidato a Aimon. Aggiungeva, auch, di aver proceduto alla risoluzione del contratto in corso con la Aimon a causa dei fatti che ne erano emersi.
Consigliamo l’Ebook:
I rischi nel trattamento dei dati – e-Book in pdf
Michele Iaselli, 2021, Maggs Verlag
L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.
Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a…
9,90 € 9,41 €
kaufen
von www.maggiolieditore.it –>
2. Le violazioni contestate dall’Autorità
A seguito del procedimento avviato ai sensi dell’art.166, Komma 5 del Codice Privacy, il Garante ha contestato sia a B&T sia ad Aimon le violazioni dei seguenti articoli:
5, par. 1, lett.a) del GDPR: in quanto l’Autorità ritiene violato il principio di liceità, trasparenza e correttezza nel trattamento dei dati personali;
12 Gdfri, in virtù del quale il titolare è tenuto ad adottare misure appropriate per fornire all’interessato tutte le informazioni relative ai trattamenti gestiti dalla propria organizzazione in forma concisa, trasparente e facilmente accessibile. Außerdem, tale disposizione prevede che il titolare deve fornire un riscontro alla richiesta dell’interessato senza ingiustificato ritardo;
13 del GDPR, in base al quale il titolare del trattamento deve fornire al titolare una serie di informazioni per ottemperare al principio per cui il trattamento deve essere corretto e trasparente e allo scopo di informare l’interessato dell’esistenza del trattamento e delle sue finalità;
14 del GDPR, il quale prevede gli adempimenti dell’art. 13 con la differenza che in questo caso si tratta di informazioni che non sono state raccolte presso l’interessato;
21 del GDPR, in quanto il Garante ha ritenuto violato il diritto di opposizione dell’interessato; in particolare l’art. 21 prevede che se i dati personali sono trattati per finalità di marketing diretto, l’interessato deve avere il diritto, in qualsiasi momento e gratuitamente, di opporsi a tale trattamento;
6, par. 1, Lettisch. a) del GDPR, in quanto il Garante ritiene che tale trattamento è stato compiuto illecitamente, in particolare senza il consenso dell’interessato;
130 del Codice Privacy, il quale, disponendo sulle comunicazioni indesiderate, precisa che le comunicazioni per “l’invio di materiale pubblicitario o vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale” sono consentite previo consenso dell’interessato. insbesondere, il sesto comma dispone che, in caso di reiterate violazioni, il Garante può intervenire e prescrivere alla società erogatrice il servizio pubblicitario “di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono state inviate le comunicazioni”.
A seguito della contestazione di tali violazioni, le società hanno quindi presentato le proprie memorie difensive.
La B&T ha affermato di aver dato incarico, attraverso un apposito contratto, alla società Aimon il compito di reperire le liste di contatto.
La Aimon, stattdessen, si è qualificata come mera responsabile del trattamento (ossia colui che tratta i dati per conto del titolare del trattamento), affermando che le società fornitrici di dati avevano agito in qualità di titolari del trattamento (ossia colui che stabilisce le finalità e le modalità del trattamento dei dati personali).
Consigliamo il volume:
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Monica Mandico, 2019, Maggs Verlag
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad…
32,00 € 30,40 €
kaufen
von www.maggiolieditore.it –>
3. Le valutazioni del Garante
Innanzitutto il Garante ha osservato, che nel caso oggetto di questo provvedimento, i due soggetti coinvolti non hanno mai provveduto ad una definizione precisa dei ruoli da loro assunti all’interno del procedimento relativo al trattamento dei dati personali.
Nonostante nel contratto intercorso tra le due società le stesse non abbiano proceduto ad una precisa qualificazione, il Garante ha ritenuto, sulla base della ricostruzione fattuale, che B&T deve considerarsi come titolare del trattamento, poiché ha determinato il motivo per cui il trattamento stesso è stato posto in essere (ossia: veicolazione di messaggi promozionali); während, Aimon deve essere considerata come responsabile del trattamento poiché ha agito sulla base di disposizioni impartite da B&T.
Secondo il Garante, dann, la mancanza della specificazione dei ruoli delle due società nel contratto da loro sottoscritto, ha comportato la violazione dei principi di cui all’art. 5 del GDPR.
Außerdem, ciò ha comportato, altresì, la violazione degli artt. 12, 13 e 14 del GDPR, poiché il soggetto interessato non ha ricevuto un’adeguata chiara e coincisa informativa sulle finalità e la tipologia di trattamento che sarebbe stato posto in essere.
Potrebbero interessarti i seguenti articoli:
Il principio di liceità del trattamento dei dati personali
Il ruolo di titolare del trattamento è attribuibile a tutti i soggetti che contribuiscono a stabilire le finalità e le modalità del trattamento
Responsabili interni ed esterni al trattamento dei dati personali
Profili organizzativi e responsabili: il punto di vista della normativa privacy
Chi è il responsabile della protezione dei dati?
Il Garante, deshalb, ha accertato che B&T, pur non essendosi riconosciuto alcun ruolo in tal senso, aveva agito in qualità di titolare, avendo anche dimostrato di aver avuto ruolo primario nella fase di selezione e istruzione del responsabile, ed inoltre non aveva proceduto a richiedere alla società incaricata la documentazione comprovante la sussistenza dei requisiti di liceità del trattamento posto in essere.
Ciò detto il Garante ha ritenuto ancora che la stessa B&T, pur avendo incaricato la società Aimon di procedere alla raccolta di dati, non può considerarsi esonerata da responsabilità rispetto agli effetti prodotti sui soggetti interessati. Secondo il Garante, tatsächlich, È onere del titolare del trattamento avvalersi di responsabili che offrano sufficienti garanzie, ma questo non basta a ridurre il grado di responsabilità in vigilando che il titolare deve costantemente esercitare nel corso delle attività di trattamento
Altra conseguenza illecita derivante dalla mancata specificazione dei ruoli e dalla pluralità di soggetti (società) coinvolti nel trattamento, ha riguardato, ad opinione del Garante, la difficoltà in merito all’esercizio del diritto di opposizione degli interessati.
Nel caso in esame, tatsächlich, il soggetto interessato non ha visto soddisfatto il suo diritto di opposizione, in quanto si è trovato di fronte ad una procedura farraginosa e poco chiara. Oltretutto, il soggetto ricorrente ha continuato a riceve sms promozionali anche dopo aver esercitato il suo diritto di opposizione.
In conseguenza di ciò, secondo il Garante, le società non hanno predisposto idonee procedure di reclamo, violando quanto disposto negli artt. 15-22 del GDPR. Il Regolamento, tatsächlich, prevede che tali procedure devono essere predisposte direttamente dal titolare, oppure questo deve incaricare il responsabile.
4. La decisione del Garante
Alla luce di tutto quanto esposto, il Garante ha ritenuto sussistente una responsabilità in capo a B&T, che ha contribuito al trattamento illecito di dati personali denunciato dal ricorrente.
deshalb, il Garante ha irrogato nei confronti della società una sanzione amministrativa, sotto forma di ordinanza ingiunzione, di €.400.000,00 (quattrocentomila//00).
schließlich, ha inviato un monito alla stessa esortandola ad adottare, per i futuri procedimenti di comunicazione pubblicitaria, procedure idonee per regolare correttamente i rapporti contrattuali con il responsabile del trattamento, effettuando i dovuti controlli e predisponendo un’adeguata informativa per gli interessati nonché predisponendo adeguate procedure per l’opposizione degli interessati.
Consigliamo il volume:
Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)
Stefano Comellini, 2018, Maggs Verlag
Quando deve essere designato un DPO? Chi deve nominarlo? Chi può essere nominato DPO e quali requisiti sono richiesti? DPO dipendente oppure soggetto esterno? Quale atto formale di nomina occorre in ambito pubblico? Se il DPO è un dipendente pubblico quale qualifica deve avere? Qual è la…
19,00 € 18,05 €
kaufen
von www.maggiolieditore.it –>
Guarda il prezzo su Amazon
Werden Sie Autor von Legge.it
Finde mehr heraus!
Das könnte Sie auch interessieren
L’accesso negato ai dati personali costituisce una violazione delle privacy
di Muia’ Pier Paolo
15 Oktober 2021
Nella giornata europea per la protezione dei dati, mini guida per creare una app complian al GDPR
di Luisa Di Giacomo
28 Januar 2022
Pubblicato il report 2020 di Verizon sui cybercrimes ai danni delle imprese: un occhio alla disciplina italiana
di Concas Alessandra
15 Juni 2020
Caso bonus Covid: il Garante privacy sanziona l’Inps per 300mila euro
von der Redaktion
10 März 2021
The post Il titolare del trattamento dati ha l’obbligo di vigilare costantemente l’operato del Responsabile appeared first on Diritto.it.
Quelle: Diritto.it