La Autoridad Nacional de Supervisión del Tratamiento de Datos Personales completó, en diciembre de 2024, una investigación en el operador RED&WHITE 2022 MANAGEMENT SA y encontró una violación de las disposiciones del art. Párrafo 28. (3) carta. a) del Reglamento (UE) 2016/679.
Por los hechos cometidos, el operador fue multado con 24.854,50 lei (el equivalente a 5.000 euros).
La investigación sobre el operador sancionado se inició a raíz de los problemas notificados a la Autoridad por el operador o por un representante autorizado del operador, en relación con una posible violación de las disposiciones del Reglamento (UE) 2016/679 en el contexto de una campaña de financiación colectiva ( microfinanciación). de particulares).
La investigación descubrió que el operador, como accionista mayoritario de un equipo de fútbol, envió un correo electrónico sobre la posibilidad de financiar al equipo por parte de sus seguidores, a una base de datos compuesta por una gran cantidad de correos electrónicos de personas específicas que habían comprado entradas para Los partidos del equipo. El correo electrónico fue enviado a través de una persona autorizada del operador, y la base de datos utilizada contenía datos personales (nombre, apellido, dirección de correo electrónico) tanto de los seguidores del club (fanáticos) como de otras personas.
En este contexto, el operador no proporcionó evidencia del desarrollo de instrucciones documentadas para su encargado del tratamiento en relación con la categoría (partidarios) de interesados en la base de datos utilizada, a quienes el encargado del tratamiento envió el correo electrónico, diseñado y aprobado por el operador, sobre el campaña de financiación.
Cabe destacar que el Reglamento (UE) 2016/679 establece en su art. Párrafo 28. (3) que «el tratamiento por parte de un encargado del tratamiento se rige por un contrato u otro acto jurídico de Derecho de la Unión o nacional que sea vinculante para el encargado del tratamiento en relación con el responsable del tratamiento y que establezca el objeto y la duración del tratamiento, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y las categorías de interesados, así como las obligaciones y derechos del responsable del tratamiento. (…)” .
Además, el citado artículo regula, entre otras cosas, que el respectivo contrato o acto jurídico prevea específicamente que la persona facultada por el operador trate datos personales únicamente sobre la base de » instrucciones documentadas del operador «.
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_30_01_2025&lang=ro