News dal Garante Europeo
Aggiornamenti a cura dello Studio Paternostro Bozzo Zanatta
Marketing e DPO (Data Processing Agreement)
L’Autorità Belga ha sanzionato un responsabile del trattamento, tra le altre cose, per non aver cancellato i dati personali di
un interessato nel contesto del marketing diretto e per aver avuto un DPO part-time sovraccarico, che non poteva svolgere efficacemente i propri compiti. Inizialmente la DPA aveva comminato una multa di 245.000 euro, poi ridotta a 172.431 euro a causa della difficile situazione finanziaria del controllore.
Diritto di accesso
La DPA di Datatilsynet, l’Autorità danese per la protezione dei dati, ha rimproverato la città di Copenaghen per non aver impedito il potenziale accesso ai dati personali di 3,7 milioni di persone da parte di 37.500 dipendenti non autorizzati.
Il diritto di ottenere copia dei dati personali
La La Corte di giustizia dell’Unione europea (CGUE) ha confermato la propria giurisprudenza in merito al diritto di ottenere una copia dei dati personali
stabilendo che all’interessato deve essere fornita una riproduzione fedele e intelligibile dei dati, indipendentemente dal fatto che la richiesta sia motivata o meno.
L’obbligo di motivazione
La Corte suprema amministrativa francese ha respinto il ricorso di VOODOO contro la multa di 3 milioni di euro inflitta loro dalla DPA per non aver ottenuto il consenso degli interessati nella raccolta di dati personali a fini pubblicitari. La Corte ha ritenuto che né il GDPR, né la legge francese sulla protezione dei dati impongano alla DPA di spiegare il ragionamento alla base dell’ammenda inflitta.
servizio postale e marketing diretto
La DPA ha multato un servizio postale di 12.680 euro (5 milioni di HUF) per aver aggiunto contenuti non richiesti ai suoi aggiornamenti di consegna. Mentre un questionario sulla soddisfazione del cliente non richiedeva una base giuridica separata, l’inclusione di informazioni di marketing diretto sì.
Groupon e il diritto di accesso
La DPA ha riscontrato che Groupon non disponeva di una base giuridica per richiedere l’ID dell’interessato al fine di soddisfare le richieste di accesso e cancellazione, violando quindi gli obblighi di minimizzazione dei dati.
Diritto di accesso
L’Autorità per la protezione dei dati italiana ha multato un’azienda di 10.000 euro per non aver risposto a una richiesta di accesso avanzata da un ex dipendente.
Anche se il titolare del trattamento non avesse più archiviato le informazioni, avrebbe dovuto fornire all’interessato le ragioni specifiche per non intraprendere alcuna azione