La società di soccorso stradale che raccoglie i dati del cliente deve rendere l’informativa privacy.
1. I fatti
Una signora che aveva usufruito dei servizi di una società di soccorso stradale, aveva presentato un reclamo al Garante per la protezione dei dati personali con cui chiedeva di accertare l’illiceità del trattamento dei suoi dati personali compiuto da detta società
In particolare, la reclamante sosteneva di aver avuto una problematica in strada con la propria automobile, che l’aveva costretta a chiedere il soccorso stradale alla società reclamata, e che quest’ultima, in occasione del servizio effettuato aveva raccolto i dati personali della stessa (all’interno id una “scheda di lavoro”) senza fornirle una idonea informativa secondo quanto previsto dal Regolamento europeo per la protezione dei dati personali (GDPR).
A fronte di quanto lamentato dalla cliente, la società di soccorso stradale – invitata dal Garante a fornire i propri scritti difensivi in merito – sosteneva che il reclamo presentato fosse infondato per due ragioni.
In primo luogo, in quanto la società aveva regolarmente risposto alla istanza di esercizio dei diritti che era stata formulata dalla reclamante. Infatti, la società sosteneva di aver fornito alla stessa un idoneo riscontro a detta istanza, in quanto le aveva comunicato quali fossero gli unici dati in possesso della medesima società (precisamente il nome, il cognome, il codice fiscale, il numero di telefono e l’indirizzo email) e per quali finalità gli stessi fossero stati utilizzati (in particolare, per predisporre il preventivo e la fattura relativi ai lavori che la società aveva effettuato sull’ automobile della reclamante), nonché le aveva comunicato che il trattamento di detti dati era ormai cessato.
In secondo luogo, la società evidenziava di aver fornito una corretta informativa privacy alla reclamante, in quanto all’interno della “scheda di lavoro” in cui erano stati raccolti i dati personali della cliente nel momento in cui era stato effettuato il servizio di soccorso stradale, era contenuto un richiamo all’articolo del GDPR relativo all’informativa privacy. Inoltre, la suddetta informativa era disponibile per tutti i clienti della società all’interno del sito web aziendale.
Potrebbero interessarti anche:
2. Le valutazioni del Garante
All’esito dell’istruttoria effettuata, il Garante per la protezione dei dati personali ha accertato che la società reclamata ha effettuato un trattamento dei dati personali della propria cliente attraverso il modulo denominato “scheda lavoro”. In quanto, all’ interno di detto modulo, al momento in cui ha effettuato il servizio di soccorso stradale a favore della reclamante, ha raccolto il nome, il cognome, l’indirizzo email e il numero di telefono della cliente nonché il numero di targa e il modello di autovettura di quest’ultima.
Nell’effettuare detto trattamento, però, la società non ha correttamente fornito alla cliente l’informativa prevista dell’art. 13 del GDPR.
Infatti, all’interno della suddetta “scheda lavoro”, la società aveva inserito una formula generica che conteneva soltanto la dicitura “autorizzo il trattamento dei dati personali ai sensi dell’art. 13 del d. lgs. 101/2018 e del GDPR Regolamento UE 679/2016”. Tuttavia, secondo il Garante, l’espressione utilizzata nella scheda è priva di significato dal momento in cui mancano tutte le informazioni richiesta dal suddetto art. 13 del Regolamento europeo.
Per quanto riguarda, poi, l’informativa che era contenuta all’interno del sito web aziendale, il Garante ha verificato che la stessa non era aggiornata, in quanto conteneva ancora i riferimenti della normativa anteriore al Regolamento, e riguardava soltanto ai trattamenti effettuati tramite il sito web con riferimento ai dati di navigazione in internet ed ai cookies. Non vi era invece alcun riferimento agli altri trattamenti dati effettuati dalla società, fra i quali appunto la raccolta dei dati personali all’interno della “scheda lavoro”.
3. La decisione del Garante
Il Garante per la protezione dei dati personali ha quindi ritenuto che, secondo quanto previsto dal GDPR e dai principi di correttezza e trasparenza dei trattamenti dati ivi contenuti, il titolare del trattamento è obbligato a rendere agli interessati tutte le informazioni che riguardano le caratteristiche essenziali del trattamento che egli intende effettuare. Inoltre, tali informazioni devono essere fornite in maniera concisa, trasparente, intellegibile e facilmente accessibile per gli interessati, oltre che mediante l’uso di un linguaggio semplice e chiaro. Tuttavia, come emerso in sede di istruttoria, la società reclamata non ha fornito alla propria cliente le suddette informazioni.
In considerazione di ciò, il Garante ha ritenuto di comminare una sanzione amministrativa pecuniaria a carico della società reclamata.
Per quanto riguarda la quantificazione della sanzione da irrogare al titolare del trattamento, il Garante ha valutato, da un lato, che la violazione era rilevante in quanto relativa all’inadempimento di un obbligo molto importante a carico del titolare (cioè quello di fornire agli interessati un’ informativa privacy avente le caratteristiche sopra descritte) e che tale inadempimento ha riguardato tutti i trattamenti effettuati nei confronti di tutti i clienti della società reclamata. Dall’altro lato, il Garante ha valutato l’assenza di precedenti violazioni commesse dal titolare del trattamento, il grado di cooperazione da parte di quest’ultimo durante il procedimento dinanzi al Garante e il fatto che nel corso dell’istruttoria, il titolare ha dimostrato documentalmente di aver modificato ed integrato l’informativa privacy in modo da renderla conforme a quanto previsto dal Regolamento europeo.
Tenendo quindi in debito conto tutti i suddetti elementi, nonché le condizioni economiche della società reclamata determinate in base ai ricavi conseguiti nell’esercizio 2020 (in modo da garantire la effettività, proporzionalità e dissuasività della sanzione economica irrogata), il Garante ha determinato l’ammontare della sanzione nella misura di €. 1.000 (mille euro).
>>>Per approfondire<<<
Dopo l’applicabilità definitiva del GDPR, il legislatore nazionale ha adottato il D.Lgs. n. 101/2018, che ha abrogato, modificato e rinnovato numerose disposizioni del “nostro” Codice Privacy (D.Lgs. n. 196/2003). Il volume consigliato chiarisce quali sono, allo stato attuale, gli adempimenti che imprese, studi professionali e Pubblica Amministrazione sono chiamati a porre in essere, al fine di mettersi in regola con la nuova normativa, evitando così pesanti sanzioni.
La nuova privacy
Dopo l’applicabilità definitiva del GDPR, il legislatore nazionale ha adottato il D.Lgs. n. 101/2018, che ha abrogato, modificato e rinnovato numerose disposizioni del “nostro” Codice Privacy (D.Lgs. n. 196/2003). Questa guida fa il punto sulle novità e chiarisce quali sono, allo stato attuale, gli adempimenti che imprese, studi professionali e Pubblica Amministrazione sono chiamati a porre in essere, al fine di mettersi in regola con la nuova normativa, evitando così pesanti sanzioni. Argomenti trattati:• L’ambito di applicazione del GDPR • I concetti essenziali: il dato personale, la persona fisica identi- ficata e identificabile ed il trattamento • I principi per il trattamento dei dati personali • Le figure sog- gettive • Il trattamento dei dati personali • La trasparenza e l’informativa all’interessato • Il registro delle attività di trattamento • I diritti dell’interessato • La protezione dei dati fin dalla progettazione (privacy by design) • La protezione per impostazione predefinita (privacy by default ) • Le misure tecniche ed organizzative adeguate • Il trasferimento dei dati all’estero • La notifica della violazione dei dati personali • La valutazione di impatto sulla protezione dei dati e la consultazione preventiva dell’Autorità di Controllo • I codici di condotta e i meccanismi di certificazione • Le istituzioni • Forme di tutela • Le sanzioni • Le principali disposizioni transitorie e finali previste dal D.Lgs. n. 101/2018.LA NUOVA PRIVACYGli adempimenti per imprese, professionisti e P.A.dopo il decreto di adeguamento al GDPR (D.Lgs. n. 101/2018) NADIA ARNABOLDIDottore in Economia e Commercio, Dottore Commercialista (sezione A, n. 278), Revisore Contabile (n. 102461), co- ordinatrice della Commissione “Privacy, 231 ed antiriciclaggio” dell’Ordine dei Dottori Commercialisti ed Esperti Contabili di Pavia. Consulente Tecnico d’Ufficio (CTU) presso il Tribunale di Pavia in materia protezione dei dati personali. Riconosciuta “Fellow of Information Privacy (FIP)” dall’International Association Privacy Professionals (IAPP) e “Thought Leader in Privacy” da DataGuidance. Possiede le certificazioni internazionali Certified Information Privacy Professional Europe (CIPP/E), Certified Information Privacy Professional United States (CIPP/US) e Certified Information Privacy Manager (CIPM), ANSI/ISO standard 17024:2012. Nadia è Auditor/Lead Auditor ISO/IEC 27001:2013, European Privacy Auditor ISDP©10003:2015 e Auditor Database & Privacy Management SGCMF©10002:2013, PRD UNI EN ISO/IEC 17065:2012. Ha maturato una pluriennale esperienza presso primari Studi legali internazionali di Milano, è titolare dello Studio Arnaboldi dal 2004 e svolge attività di consulenza specialistica a società nazionali e multinazionali ed enti in materia di protezione dei dati personali, diritto delle nuove tecnologie, conservazione e processi documentali. Selezionata quale esperto indipendente per assistenza alla Commissione Europea, DG Home Affairs e DG Justice, in materia di Giustizia, Libertà e Sicurezza, Programma “Diritti Fondamentali e Giustizia – Protezione dei Dati Perso- nali” (2007/S 140-172522), ed inclusa nella lista di esperti per assistere la Commissione Europea nell’ambito del Programma Giustizia e del Programma Diritti, Uguaglianza e Cittadinanza (2014-2020). Componente dei gruppi di lavoro internazionali di DataGuidance “Global Data Breach Notification – At a Glance table” e “Pharmacovigilance at-a-glance advisory”, autrice dell’Advisory Note in materia di diritto farmaceutico e delle Advisory Notes su nuove tematiche in materia di protezione dei dati personali pubblicate in “Privacy this Week”. Contributor delle riviste mensili “Digital eHealth legal” (già eHealth Law & Policy) e “Data Protection Leader” (già Data Protection Law & Policy) edite da Cecile Park Publishing (CPP). Docente di corsi di formazione ed autrice di articoli specialistici e monografie in materia di protezione dei dati personali. Componente del Comitato Direttivo e coordinatrice del Comitato Scientifico dell’Associazione italiana dei Data Protection Officer (ASSO DPO).
Nadia Arnaboldi | Maggioli Editore 2018
Scrivi un commento
Accedi per poter inserire un commento