La Corte amministrativa suprema ha respinto ieri il ricorso in cassazione della società Bisnode* (ora Dun & Bradstreet) contro la sentenza del Tribunale amministrativo del Voivodato di Varsavia.
Dopo più di quattro anni, il caso relativo all’imposizione della prima multa da parte dell’autorità di vigilanza polacca ha avuto il suo epilogo. Questo è il tempo necessario per imporre una multa di poco più di 943.000 zloty a Bisnode, che ha ottenuto dati da registri pubblici disponibili, ma non ha informato le persone di cui ha trattato i dati. Di conseguenza, queste persone non erano nemmeno a conoscenza del fatto che il responsabile del trattamento stesse trattando i loro dati personali e quindi non potevano esercitare i loro diritti, ad esempio la rettifica dei dati o l’opposizione a un ulteriore trattamento dei dati.
Questo caso ha suscitato grandi emozioni fin dall’inizio. Alcuni hanno accusato l’Ufficio per la protezione dei dati personali di aver colpito con questa decisione i broker di dati, impegnati nell’ottenimento e nel trattamento di dati per la rivendita. Tuttavia, l’UODO non ha messo in discussione l’ottenimento di dati da registri pubblici disponibili di per sé, ma, dopo aver condotto un procedimento amministrativo, ha riscontrato che la società non ha informato la stragrande maggioranza delle persone di cui aveva ottenuto i dati sul fatto che era diventata il responsabile del trattamento dei loro dati e su come intendeva trattarli ulteriormente. Tali informazioni sono state ricevute solo dalle persone di cui la società era in possesso di un indirizzo e-mail.
Secondo l’Ufficio per la protezione dei dati personali, una società che ottiene dati personali da registri pubblici disponibili (ad esempio, Registro nazionale dei tribunali [KRS], Registrazione centrale e informazioni sulle imprese [CEIDG], Registro nazionale delle imprese [REGON]) deve adempiere all’obbligo di informazione nei confronti di tali persone di cui all’articolo 14 del GDPR, ossia il Regolamento generale sulla protezione dei dati, fornendo direttamente informazioni all’interessato.
La società ha presentato ricorso contro questa decisione al Tribunale amministrativo del Voivodato di Varsavia, che ha dato parzialmente ragione all’autorità (rif. n. II SA/Wa 1030/19). Il Tribunale ha ritenuto che l’azienda fosse tenuta a rispettare l’obbligo di informazione ai sensi dell’articolo 14 del GDPR, ma solo in relazione alle persone che stavano conducendo attivamente un’attività economica o l’avevano sospesa al momento dell’emissione della decisione. Tuttavia, la decisione dell’UODO non si riferiva solo a queste persone, ma anche a quelle che avevano svolto tale attività in passato, e il Tribunale amministrativo del Voivodato ha annullato la decisione per quanto riguarda l’ordine di rispettare l’obbligo di informazione in relazione a questo gruppo di persone. Poiché il numero di persone i cui diritti sono stati violati ha avuto un impatto sull’entità della multa, il Tribunale ha annullato anche la decisione nella parte relativa all’imposizione di una sanzione amministrativa.
La Corte ha sottolineato, in particolare, che nel contesto della circostanza sollevata dalla società nel suo reclamo in merito alla mancanza di indirizzi aggiornati delle persone fisiche che in passato erano titolari di imprese individuali (avevano cessato la loro attività), le conclusioni dell’autorità in merito alla possibilità di adempiere all’obbligo di fornire a tali persone le informazioni pertinenti richiederebbero una previa constatazione della conformità del trattamento (conservazione, uso, divulgazione, accesso) di tali dati con il diritto dell’UE, ossia il GDPR. Poiché la società sostiene di non disporre di indirizzi aggiornati delle persone fisiche di cui tratta i dati, occorre considerare che il GDPR richiede in particolare che i dati personali siano trattati in modo lecito, equo e trasparente nei confronti dell’interessato, che siano accurati e, se necessario, aggiornati. Secondo la Corte, quanto sopra è strettamente legato all’obbligo di informazione e l’autorità, nel riesaminare il caso, sarà tenuta a tenere conto di queste indicazioni della Corte.
Tuttavia, la società ha presentato un ricorso in cassazione contro questa sentenza, sottolineando che non era tenuta ad adempiere all’obbligo di informazione con l’uso della corrispondenza tradizionale o delle telefonate a causa dell’esenzione da tale obbligo per “sforzo sproporzionato”. Tuttavia, la Corte Amministrativa Suprema ha confermato la correttezza della posizione presentata nella decisione del Presidente dell’Ufficio per la protezione dei dati personali, nonché nella sentenza del Tribunale amministrativo del Voivodato, secondo cui l’azienda dovrebbe adempiere all’obbligo di informazione in relazione alle persone che svolgono un’attività economica di cui ha ottenuto i dati. La Corte amministrativa suprema ha sottolineato che, ai sensi del GDPR, la trasparenza del trattamento è una regola e qualsiasi eccezione a questa regola, compresa quella relativa all’esenzione dall’obbligo di informare le persone a causa di uno “sforzo sproporzionato”, deve essere interpretata in modo restrittivo e, di norma, deve essere applicata al trattamento dei dati per scopi pubblici, in particolare per scopi statistici, di ricerca, di archiviazione o storici.
Attualmente, il presidente dell’Ufficio per la protezione dei dati personali è tenuto a riconsiderare il caso nell’ambito in cui la Corte ha annullato la decisione amministrativa, ossia nell’ambito del trattamento dei dati di persone che hanno svolto un’attività economica in passato e nell’ambito dell’importo della sanzione amministrativa inflitta.