Cyfrowy Polsat SA non ha implementato misure tecniche e organizzative adeguate in collaborazione con il corriere. Ciò ha provocato numerose violazioni identificate con un lungo ritardo. A causa di queste negligenze, il presidente dell’Ufficio per la protezione dei dati personali ha inflitto alla società un’ammenda per un importo di oltre 1,1 milioni di PLN.

Perdita di corrispondenza con i dati personali o consegna di un tale pacco al destinatario sbagliato: si tratta di violazioni che l’azienda ha spesso segnalato all’Ufficio per la protezione dei dati personali. Inoltre, dall’analisi di tali violazioni effettuata dall’Ufficio per la protezione dei dati personali è emerso che il titolare del trattamento ha segnalato le violazioni all’autorità di controllo, nonché informato le persone interessate degli incidenti due o anche tre mesi dopo il loro verificarsi.

Nel corso del procedimento è emerso che il titolare del trattamento ha denunciato violazioni non appena ha ricevuto informazioni in merito dal corriere con cui aveva firmato un contratto. Tuttavia, a parere dell’Ufficio per la protezione dei dati personali, il titolare del trattamento dovrebbe adottare misure efficaci che, in primo luogo, riducano al minimo l’entità delle violazioni e, in secondo luogo, consentano un’identificazione più rapida di tali incidenti e quindi notificandoli alle persone colpite dall’incidente.

A causa della mancanza di misure organizzative e tecniche adeguate implementate che consentano una rapida identificazione delle violazioni, gli interessati non sono stati a lungo a conoscenza del rischio che i loro dati fossero utilizzati da persone non autorizzate, ad esempio per i cosiddetti rubare la loro identità. Durante questo periodo, non potevano intraprendere alcuna azione che limitasse tale pericolo.

Nel frattempo, la portata dei dati personali nella corrispondenza persa o consegnata al destinatario sbagliato era ampia. Inoltre, le spedizioni contenevano anche altri dati, come ID contratto, numero di contratto, numeri di fattura.

Nonostante le violazioni fossero riconducibili ad irregolarità da parte del corriere, è stato il titolare del trattamento sanzionato a vigilare erroneamente sull’applicazione delle disposizioni contrattuali, determinando la tardiva identificazione delle violazioni. Inoltre, era possibile per il titolare del trattamento introdurre e applicare nuove soluzioni che avrebbero ridotto il numero di violazioni e consentito un’identificazione più rapida.

Tuttavia, è stato solo nel corso del procedimento che la società ha attuato meccanismi che hanno consentito di ridurre sensibilmente i casi di emissione di corrispondenza a persona non autorizzata. Ha inoltre implementato soluzioni di tracciamento della spedizione, che hanno consentito di identificare e segnalare più rapidamente la corrispondenza persa con i dati personali. Di conseguenza, il processo di identificazione delle violazioni dei dati da parte dell’azienda è stato notevolmente ridotto.

Il Presidente dell’Ufficio per la protezione dei dati personali ha deciso di infliggere una sanzione all’azienda per aver violato le disposizioni del GDPR, in quanto l’applicazione di altre misure correttive non sarebbe proporzionata alle irregolarità riscontrate. Inoltre, non garantirebbe che il titolare del trattamento non farà omissioni simili in futuro.

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA POLONIA – UODO