Sei milioni di persone non informate in merito al trattamento dei loro dati personali e l’autorità Polacca responsabile per la Protezione dei dati (UODO) ha sanzionato per l’equivalente di 220.000,00 € un'azienda polacca, non per violazione di una norma locale, bensì per non avere adempiuto al dettato del GDPR, in particolare l’art. 14, avendo elaborato l’azienda senza che gli Interessati ne fossero a conoscenza.

Un caso analogo a quello che ha visto sanzionare UBER per un’attività di profilazione non espressamente autorizzata. In entrambi i casi non si era provveduto ad una compiuta informazione agli interessati dei loro diritti, in particolare la possibilità di opporsi al trattamento; nel caso della società polacca i dati erano poi stati trattati a fini commerciali e provenivano da fonti accessibili al pubblico.

La violazione è stata ritenuta particolarmente grave in quanto va a colpire diritti e libertà degli interessati che non erano stati informati del trattamento pur essendo il responsabile a conoscenza degli obblighi derivanti dal GDPR e che, oltretutto, non aveva posto in essere alcun rimedio o forma di cautela pur nella consapevolezza dei suoi doveri.  Questi aveva infatti informato solo gli interessati di cui disponeva dell’indirizzo mail, limitandosi per gli altri ad una comunicazione sul sito aziendale: prassi a dir poco incosciente, in quanto prova della assoluta insufficienza del proprio operato, della disparità nei confronti degli interessati e, in via processuale, di chiaro valore confessorio. La scelta dell’azienda era stata motivata anche dal costo, non proprio esiguo, necessario a realizzare una informativa completa ma, pur contemperando il GDPR proprio i costi necessari, nella fattispecie il Garante polacco ha preferito dare maggiore importanza ai diritti degli Interessati che non alle ragioni dell’azienda.

Il Responsabile avrebbe dovuto invece andare oltre, informando le persone, tra l’altro, sulla fonte dei loro dati, sullo scopo e sul periodo del trattamento previsto, nonché dei loro diritti ai sensi del GDPR. Un’azione che non necessariamente deve essere svolta tramite raccomandata (questa la scusante usata dalla società per evidenziare come potesse essere troppo oneroso il compito), ma anche tramite altri mezzi: l’azienda infatti aveva in disposizione di indirizzi e dei numeri di telefono, quindi poteva e doveva attivarsi.

La sanzione quindi è stata erogata in piena applicazione dell’Art. 14 GDPR perché non è stato consentito agli interessati di esercitare i loro diritti, i quali presuppongono che gli interessanti siano informati. Un primo segnale per tutti coloro che ancora non hanno adeguato le loro policy al GDPR e a coloro che continuano ad utilizzare prassi non conformi alla nuova normativa.