A seguito del fatto che l’Ufficio per la protezione dei dati personali ha condotto una nuova indagine sulla violazione delle disposizioni del GDPR da parte di Virgin Mobile (ora P4) e ha ridotto l’importo della multa inflitta a questo responsabile del trattamento da 1,9 milioni di zloty a 1,6 milioni di zloty, il Tribunale amministrativo del Voivodato di Varsavia non ha impugnato la decisione dell’autorità di controllo.
In una precedente occasione, il Tribunale amministrativo del Voivodato di Varsavia (sentenza del 21 ottobre 2021, n. II SA/Wa 272/21) ha revocato la decisione del presidente dell’autorità di controllo polacca, affermando che il reclamo presentato da Virgin era giustificato, sebbene non tutte le accuse sollevate nel reclamo potessero essere considerate legittime. In quell’occasione, la Corte ha ritenuto che il presidente dell’Ufficio per la protezione dei dati personali avesse correttamente valutato che le procedure adottate dalla società avrebbero potuto essere efficaci se, nell’ambito delle procedure attuate, avessero incluso anche norme per la verifica, la valutazione e la verifica periodica dell’efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento e che sarebbero state osservate da Virgin. La mancanza di norme in vigore ha contribuito alla violazione dei dati personali.
Tuttavia, la Corte ha sottolineato che l’autorità, nel determinare l’importo della sanzione, non ha spiegato sufficientemente perché le circostanze indicate nell’articolo 83, paragrafo 2, lettere c), e) e h), del Regolamento 2016/679, ossia le azioni intraprese dal titolare del trattamento per ridurre al minimo il danno subito dagli interessati, eventuali precedenti violazioni pertinenti da parte del titolare del trattamento e il modo in cui l’autorità di controllo è venuta a conoscenza della violazione, non hanno influito sull’importo della sanzione indicato nella decisione impugnata.
Per questo motivo, il presidente dell’autorità di controllo polacca ha dovuto rivalutare l’impatto delle circostanze indicate nel GDPR per imporre una sanzione amministrativa sull’importo della sanzione applicata al responsabile del trattamento.
Ricordiamo che il Presidente dell’Ufficio per la protezione dei dati personali, nella sua decisione, ha riscontrato una violazione delle disposizioni del GDPR consistente nella mancata implementazione da parte di Virgin Mobile Polska, il cui successore legale è P4 Sp. z o.o., di misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio di trattamento dei dati mediante sistemi informatici. Questi sistemi sono stati utilizzati per registrare i dati personali degli abbonati ai servizi prepagati e la mancanza di misure tecniche e organizzative adeguate ha fatto sì che una persona non autorizzata potesse accedere ai dati, il che ha costituito una violazione del principio di integrità e riservatezza.
Dopo che il presidente dell’autorità di controllo polacca ha nuovamente condotto un procedimento e ha deciso di imporre una multa amministrativa, questa volta dell’importo di quasi 1,6 milioni di zloty a P4, il successore legale di Virgin Mobile Polska, anche questa decisione è stata impugnata dalla società.
Il Tribunale amministrativo del Voivodato di Varsavia, con sentenza del 21 giugno 2023 (rif. n. II SA/Wa 150/23), ha questa volta respinto il ricorso del controllore. La Corte ha concordato con il Presidente dell’Ufficio per la protezione dei dati personali per quanto riguarda la valutazione della violazione, respingendo così le accuse della società. Nella motivazione del verdetto, la Corte ha anche affermato che l’ammenda è stata correttamente determinata e giustificata, e che l’autorità ha indicato circostanze specifiche che hanno influenzato l’importo dell’ammenda.
La Corte non è stata inoltre persuasa dall’argomentazione del ricorrente secondo cui la violazione sarebbe avvenuta presso l’ormai defunta Virgin Mobile e non presso la P4. Secondo la Corte, “l’acquisizione di Virgin Mobile da parte di P4 ha avuto come effetto l’assunzione di tutti i diritti e gli obblighi della società acquisita, compresi gli obblighi di diritto pubblico, inclusa la responsabilità per gli illeciti amministrativi”.