L’entità che acquisisce i dati personali degli imprenditori dai registri pubblici allo scopo di fornire servizi commerciali è obbligata ad adempiere all’obbligo di informazione direttamente nei confronti di queste persone, ha riconosciuto il Tribunale amministrativo provinciale di Varsavia nel caso della società Bisnode, così concordato con la decisione del Presidente dell’UODO in merito all’imposizione di una sanzione pecuniaria.

Un imprenditore che svolge attività commerciale consistente nell’ottenere informazioni, compresi dati personali di persone che svolgono attività commerciale, da registri pubblici disponibili al pubblico (ad esempio KRS, CEIDG, REGON) e analizzare, interpretare e quindi condividere queste informazioni con i clienti interessati, deve adempiere all’obbligo di informazione nei confronti di tali persone specificato nell’art. 14 del GDPR del Regolamento generale sulla protezione dei dati personali (GDPR) fornendo direttamente informazioni all’interessato – come segue dalla sentenza del Tribunale amministrativo provinciale di Varsavia dell’11 dicembre 2019 (numero di riferimento II SA / Wa 1030/19).

Inoltre, secondo il parere del Tribunale amministrativo provinciale, l’eventuale costo elevato dell’invio di tali informazioni per posta tradizionale non costituisce motivo di esenzione dall’obbligo di fornire informazioni.

Questo è un caso in cui il presidente dell’Ufficio per la protezione dei dati personali ha ordinato, mediante decisione amministrativa, di ottemperare all’obbligo di informazione e ha imposto alla società amministrativa un’ammenda di oltre 943 mila PLN.

Desideriamo ricordarti che la società è stata punita in relazione a una violazione dell’obbligo di informazione (articolo 14 (1-3) del regolamento generale sulla protezione dei dati personali), consistente nel non fornire le informazioni contenute nell’articolo 14 paragrafo 1 e 2 del GDPR a tutte le persone fisiche i cui dati personali sono trattati dalla società, attualmente o in passato ditta individuale e persone fisiche che hanno sospeso le loro attività.

La società ha presentato una denuncia al tribunale amministrativo provinciale contro questa decisione. La società ha sostenuto, tra l’altro, che non era tenuta a fornire informazioni ai sensi dell’art. 14 GDPR.

L’entità ha deciso di essere esonerata da tale obbligo ai sensi dell’art. 14 paragrafo 5 punto b) GDPR. Secondo la società, fornire tali informazioni richiederebbe uno sforzo sproporzionato, a causa dell’elevato costo per adempiere a tale obbligo inviando tali informazioni per posta tradizionale.

Questo argomento non è stato accettato dal Tribunale amministrativo provinciale. Il tribunale ha ritenuto che l’alto costo dell’invio di tali informazioni tramite posta tradizionale non possa significare che esiste una condizione di “sforzo sproporzionato”.

Nella sentenza, il tribunale ha respinto il reclamo nell’ambito dell’ordinanza per adempiere all’obbligo di informazione nei confronti delle persone fisiche che attualmente svolgono attività economiche e delle persone fisiche che hanno sospeso le loro attività e alle quali tali informazioni non sono state ancora fornite.

Allo stesso tempo, a causa di irregolarità procedurali notate, la Corte ha annullato la decisione del presidente dell’UODO nella parte relativa all’ordine di adempiere all’obbligo di informazione nei confronti delle persone fisiche che avevano precedentemente svolto attività commerciali.

A questo proposito, il presidente di UODO dovrà ripetere nuovamente la procedura amministrativa come indicato dalla Corte.

Il rigetto del reclamo solo in parte relativo alle persone che svolgono attualmente o hanno sospeso l’attività economica e l’annullamento della decisione nella parte relativa alle persone che svolgono tale attività in passato significa che il numero di persone interessate dalla violazione è cambiato.

Questo numero era importante per imporre la penalità e determinarne l’ammontare. Per questo motivo, conformemente alla sentenza del tribunale amministrativo provinciale, il presidente di UODO dovrà riesaminare tali questioni nell’ambito di procedimenti amministrativi. Il giudizio non è definitivo.

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA POLONIA – UODO