Quando riceviamo mail pubblicitarie o veniamo contattati nell’ambito di campagne di marketing e domandiamo agli operatori come abbiano ottenuto i nostri dati personali, spesso ci troviamo di fronte ad un muro di gomma, e la risposta che riceviamo è che “abbiamo dato il consenso”, come se per il fatto che se in una certa occasione di cui neanche abbiamo ricordo abbiamo dato un consenso più o meno consapevole avessimo firmato una condanna ad essere perseguitati vita natural durante da spam e promozioni aggressive.

D’altra parte, una norma che ancora non viene ancora applicata diffusamente ma che ci offre un’importante tutela è quella prevista dall’art.7 paragrafo 3 del Gdpr, dove viene prescritto che “l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento” e che esso è “revocato con la stessa facilità con cui è accordato”.

Proprio in base a tale principio, il Garante per la Privacy polacco (UODO) ha inflitto una sanzione di oltre 201mila złoty (pari a circa 47mila euro) alla società ClickQuickNow con sede legale a Varsavia, la quale aveva ostacolato l’esercizio del diritto di revoca del consenso al trattamento dei dati personali a degli utenti che neppure erano suoi clienti, violando inoltre anche il dovere di agevolare l’esercizio dei diritti dell’interessato a cui era tenuta ai sensi dell’art.12 paragrafo 2 del Regolamento Europeo.

Secondo l’Autorità polacca, la ClickQuickNow non aveva implementato adeguate misure tecniche ed organizzative per consentire la revoca in modo semplice ed efficace del consenso e l’esercizio del diritto di richiedere la rimozione dei dati personali (il cosiddetto diritto all’oblio), violando così i principi di liceità, correttezza e trasparenza che sono alla base del Gdpr (Art.5).

Come spiega l’UODO nella sua decisione, il meccanismo di revoca del consenso della società è stata ritenuto inefficace, in quanto consisteva nell’utilizzo di un collegamento riportato nel contenuto delle informazioni commerciali, che però era tutt’altro che rapido ed intuitivo, in quanto dopo aver attivato il link i messaggi indirizzati all’utente erano fuorvianti e contraddittori senza indicazioni chiare, impedendo di fatto all’interessato di proseguire e completare la procedura.

Giudicando intenzionale l’operato della ClickQuickNow, non solo l’Autorità ha imposto la sanzione amministrativa, ma ha anche ordinato alla società di conformarsi entro 14 giorni alle disposizioni del GDPR, cancellando inoltre i dati delle persone che, non essendo clienti e non sussistendo un’altra valida base giuridica, avevano richiesto la cessazione del trattamento dei loro dati personali.