Il 2 luglio 2024, l’autorità lituana di controllo della protezione dei dati – Ispettorato statale per la protezione dei dati (SDPI), ha deciso di imporre una sanzione amministrativa di 2 385 276 euro a Vinted, UAB (la società), l’operatore del commercio online di abbigliamento di seconda mano e piattaforma di scambio “Vinted”. La sanzione è stata inflitta dall’SDPI a seguito dell’esame dei reclami dei ricorrenti inoltrati dalle autorità di controllo francesi e polacche e constatando la violazione dell’articolo 5, paragrafo 1, lettera a), del regolamento generale sulla protezione dei dati (GDPR) (i principi di liceità , equità e trasparenza), articolo 5, paragrafo 2, del GDPR (principio di responsabilità), e articoli 12, paragrafi 1 e 4, del GDPR (informazione trasparente, comunicazione e condizioni per l’esercizio dei diritti dell’interessato ).
L’SDPI ha condotto un’indagine a seguito delle denunce dei ricorrenti inoltrate dalle autorità di vigilanza francese e polacca rispettivamente nel 2021 e nel 2022, sostenendo che la società non aveva adeguatamente dato seguito alle loro richieste relative al diritto alla cancellazione (“diritto all’oblio”) e il diritto di accesso.
Durante l’esame dei reclami è stato stabilito che la società, nella sua risposta alle richieste dei ricorrenti, ha indicato che non avrebbe dato seguito ad una specifica richiesta di cancellazione dei dati, poiché il richiedente interessato non ha identificato nella sua richiesta lo “specifico” 17 del GDPR, cioè non hanno individuato un motivo specifico corrispondente all’articolo 17, paragrafo 1, del GDPR, e la società non ha fornito tutte le ragioni dell’inerzia, vale a dire le finalità per le quali i dati dei richiedenti un ambito specifico continuerà a essere elaborato dopo la presentazione della richiesta.
Dall’esame dei reclami è inoltre emerso che la società, al fine di garantire la sicurezza della piattaforma e dei suoi utenti, ha applicato illegalmente lo “shadow blocking” (il trattamento dei dati personali con l’intenzione che una persona che presumibilmente viola i diritti della piattaforma “Vinted” principi di funzionamento dovrebbero abbandonare la piattaforma senza essere a conoscenza di tale trattamento dei propri dati personali) nei confronti di alcuni dei richiedenti, in violazione dei principi di correttezza e trasparenza. Va notato che l’errata attuazione dei suddetti principi ha influito negativamente sulla capacità degli utenti della piattaforma di esercitare altri diritti e di ricorrere ai rimedi previsti dal GDPR.
Inoltre, la società non ha adottato misure tecniche e organizzative sufficienti per garantire l’attuazione del principio di responsabilità e per poter dimostrare di aver adottato (o ragionevolmente rifiutato di intraprendere) azioni in merito al diritto di accesso.
Nel decidere l’importo della sanzione, l’SDPI si è basato sulle linee guida 04/2022 del Comitato europeo per la protezione dei dati del 24 maggio 2023 sul calcolo delle sanzioni amministrative ai sensi del GDPR, tenendo conto, ad esempio, della portata transfrontaliera della sanzione trattamento effettuato dalla società, le violazioni hanno interessato un gran numero di interessati e si sono protratte per un lungo periodo di tempo.
La causa relativa all’irrogazione di una sanzione amministrativa da parte dello SDPI è stata trattata oralmente in camera di consiglio, alla presenza di rappresentanti dello SDPI e di rappresentanti della società. Dato che i reclami riguardavano anche dati personali di cittadini di altri Stati membri dell’Unione Europea, ai sensi del GDPR, la decisione assunta è stata coordinata anche con le autorità di controllo della protezione dei dati personali di tali Stati membri, applicando lo “sportello unico” principio. Le autorità di vigilanza di Germania, Francia, Polonia, Paesi Bassi e Spagna si sono identificate come autorità di vigilanza interessate.
La decisione dell’SDPI può essere impugnata dinanzi al Tribunale amministrativo delle Regioni entro un mese dalla data di pronuncia della decisione secondo la procedura prevista dalla Legge della Repubblica di Lituania sui procedimenti amministrativi.