L’Agenzia danese per la protezione dei dati ha preso una decisione in un caso in cui un cittadino ha presentato un reclamo per la divulgazione del suo indirizzo e-mail da parte di Telmore A/S a Meta Ireland. Il caso è stato trattato dal Consiglio per i dati.

L’Agenzia danese per la protezione dei dati ha ricevuto un reclamo da parte di un cittadino che ha denunciato che Telmore A/S ha trasmesso i suoi dati personali a Meta Ireland. Il reclamo conteneva quattro punti principali:

1. Il trasferimento da parte di Telmore dei dati personali del denunciante a Meta Ireland.
2. il trasferimento da parte di Telmore dei dati personali del denunciante negli Stati Uniti
3. l’inadeguato adempimento da parte di Telmore del suo obbligo di divulgazione
4. Risposta inadeguata di Telmore alla richiesta di accesso del denunciante.

Secondo Telmore, la divulgazione è stata fatta per esentare il denunciante dal marketing mirato dell’azienda su Facebook. Ciò è avvenuto utilizzando lo strumento Custom Audience di Facebook, che consente alle aziende di adattare le proprie pubblicità a gruppi di utenti specifici. Lo strumento funziona grazie alla trasmissione da parte dell’azienda di informazioni – come gli indirizzi e-mail – relative, ad esempio, ai clienti, che vengono confrontate con le informazioni di Meta Ireland sugli utenti di Facebook. Nel caso in questione, Telmore aveva valutato che Meta Ireland agiva come responsabile del trattamento dei dati per l’azienda.

Critica dell’Agenzia danese per la protezione dei dati
Nella decisione, l’Agenzia danese per la protezione dei dati ha concluso che il trattamento dei dati personali del denunciante da parte di Telmore non poteva essere basato sulla regola del bilanciamento degli interessi – su questa base, l’Agenzia danese per la protezione dei dati ha scelto di criticare. Inoltre, la valutazione di Telmore sulla divisione dei ruoli tra l’azienda e Meta Ireland è stata ignorata dall’autorità di controllo, che ha stabilito che nel caso vi era una responsabilità congiunta dei dati. Su questa base, l’Agenzia danese per la protezione dei dati ha ritenuto che Telmore non avesse stabilito la propria responsabilità per il rispetto degli obblighi del Regolamento sulla protezione dei dati in quanto responsabile congiunto dei dati con Meta Ireland. Tuttavia, l’Agenzia danese per la protezione dei dati ha scelto di non criticare questo fatto, in quanto il mancato accertamento della responsabilità era dovuto al fatto che l’Agenzia danese per la protezione dei dati aveva eccezionalmente ignorato la valutazione di Telmore sulla divisione dei ruoli.

Nessuna ulteriore indagine
L’Agenzia danese per la protezione dei dati ha inoltre concluso che non era opportuno proseguire le indagini sugli altri reclami del caso. Questo perché un prerequisito fondamentale per la conformità alle norme sulla protezione dei dati è la corretta identificazione del proprio ruolo nel trattamento dei dati personali, compresa la divisione dei ruoli con eventuali partner commerciali. Poiché l’Agenzia danese per la protezione dei dati non ha tenuto conto della valutazione di Telmore su questo prerequisito fondamentale, il proseguimento dell’indagine non avrebbe fornito al denunciante informazioni corrette sulle modalità di trattamento dei dati. L’Agenzia danese per la protezione dei dati ha anche sottolineato che Telmore non condivideva più l’indirizzo e-mail del denunciante con Meta Ireland.

L’Agenzia danese per la protezione dei dati ha sottolineato a Telmore che se l’azienda intende continuare a utilizzare lo strumento Custom Audience di Meta Ireland, deve assicurarsi che esista un cosiddetto accordo di responsabilità congiunta dei dati che stabilisca le rispettive responsabilità delle parti per il rispetto degli obblighi del GDPR.

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/maj/kritik-af-telmore-as%e2%80%99-behandling-af-personoplysninger