El asistente comisionado del responsable de la protección de datos ha ordenado a Euroclear Finland Oy de modificar sus actividad de divulgación de registro de los accionistas para cumplir con las normativas de protección de datos. La divulgación de las informaciones del registro de los accionistas mediante el servicio telefónico no ha sido considerada lícita. La sociedad no ha además cumplido las obligaciones tanto del responsable del tratamiento como no ha consentido al interesado de ejercitar sus derecho en caso de difusión de informaciones del registro de los accionistas por fines de marketing directo.
En una queja recibida desde la Oficina de la Autoridad de protección de datos, el promotor ha declarado de dudar que las actividades de Euroclear Finland Oy en la divulgación de las informaciones sobre los accionistas no cumplían los requisitos de las legislaciones sobre la protección de datos. La sociedad ha ofrecido un servicio telefónico mediante el cual ha ofrecido informaciones proporcionadas desde el registro de los socios de sociedades de capitales y cooperativas.
La divulgación de informaciones mediante el servicio telefónico no era legal. La sociedad ha declarado de tener los registros públicos de los accionistas previstos desde la ley y ha considerado el servicio telefónico equivalente al mantenimento de registro de los accionistas públicamente visibles en las filiales.
Todavía, las modalidades para hacer públicos los registros de los accionistas de las sociedades de capitales y cooperativas son expresamente previstas desde la ley y el servicio telefónico no es una de estas modalidades de divulgación de informaciones.
La manera como la sociedad trata los datos personales no ha cumplido los requisitos del tratamiento correcto de datos establecidos en el Reglamento General sobre la protección de datos. La sociedad también no se ha dado cuenta de proceder como el encargado del tratamiento.
La empresa no ha evaluado correctamente su propio papel de acuerdo con el Reglamento General de Protección de Datos (GDPR). No obstante, Euroclear se ha considerado un encargado de datos personales y, de acuerdo con Euroclear, el encargado es una sociedad de responsabilidad limitada o cooperativa. Todavía, Euroclear ha tomado decisiones sobre el tratamiento de datos personales que son parte del encargado del tratamiento.
De acuerdo con Euroclear, ha sido posible divulgar las informaciones obtenidas desde el registro de los accionistas para el marketing directo, porque de acuerdo con el Companies Act, pueden ser divulgadas copias del registro de los accionistas o parte de eso y la ley no limita las finalidades por las cuales las informaciones pueden ser compartidas.
Todavía, el encargado del tratamiento de datos personales no puede decidir autónomamente sobre la emisión de datos, pero debe tratar los datos personales en cumplimiento con las instrucciones ofrecidas desde el encargado del tratamiento. Por lo tanto, en este punto, el encargado se ha convertido en un controlador a través de sus propias actividades y debería haber comenzado a cumplir con las obligaciones del controlador bajo el GDPR.
El interesado debe ser informado de la divulgación de los datos a la comercialización directa
Euroclear no ha considerado su obligación de informar a los interesados sobre la divulgación de datos con fines de comercialización directa, incluso si tenía la obligación de informar al responsable del tratamiento.
Según Euroclear, la información sobre marketing directo se ha cuidado multiplicando la prohibición de comercialización directa en su sitio web y en la descripción del registro del registro de entrada en libros. Sin embargo, una mera referencia a la comercialización directa en un sitio web o en la descripción del registro no es, en principio, suficiente si dicha información no se ha divulgado en el mismo contexto cuando se recopilaron los datos personales. A falta de información adecuada, los interesados no han podido ejercer su derecho a oponerse al tratamiento de datos personales.
El Supervisor Asistente emitió una nota a la empresa sobre el incumplimiento del GDPR y le ordenó que alineará el procesamiento de datos personales.
La resolución puede ser recurrida ante el Tribunal Administrativo y, por lo tanto, no es definitiva.
FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FINLANDIA