L’autorità di controllo polacca (UODO – Urząd Ochrony Danych Osobowych), già nota alle cronache delle sanzioni nell’ambito della protezione dei dati personali sul tema della mancata cooperazione, ha emesso una nuova sanzione a riguardo per un importo di circa 3000 euro.
In seguito ad un reclamo ricevuto a giugno 2019, l’UODO aveva formulato una formale richiesta istruttoria ad una società per ottenere le informazioni essenziali circa le attività di trattamento svolte sui dati personali dell’interessato. Fra queste, si chiedeva di fornire indicazioni circa la base giuridica e le finalità perseguite, nonché di allegare un eventuale accordo tramite il quale veniva regolamentato il trasferimento dei dati nei confronti di un’altra società. Il riscontro inizialmente fornito risultava però incompleto, e la richiesta successiva di dettagli ed evidenze documentali, nonché ogni tentativo di interlocuzione, non portavano ad ottenere l’integrazione delle informazioni mancanti, ma anzi si concludevano in un silenzio da parte della società. La mancanza totale di risposte, infine, si concretizzava nel non provvedere neanche al ritiro delle comunicazioni provenienti dall’autorità di controllo.
Tale fatto ha di conseguenza comportato l’apertura d’ufficio di un procedimento con cui è stata contestata la violazione dell’art. 31 GDPR e, all’esito degli accertamenti, è stata emessa la sanzione amministrativa valutando l’inerzia perdurante da maggio 2020, il sostanziale impedimento di accedere alle informazioni, l’intenzionalità dei comportamenti perpetrati (vista la palese mancanza di collaborare e l’assenza di giustificazioni) e la mancata collaborazione per rimuovere la violazione e mitigarne i possibili effetti negativi. Inoltre, la gravità della violazione è stata valutata anche per essere stata continua e di lungo termine, e non episodica o incidentale.
Nonostante l’importo contenuto della sanzione, il rilievo che viene dato all’obbligo di cooperazione costituisce uno spunto particolarmente importante. Non è possibile, infatti, giustificare in alcun modo ostacoli all’esercizio dei poteri dell’autorità di controllo senza svilirne il ruolo di garanzia e tutela per l’effettiva attuazione della normativa in materia di protezione dei dati personali. Inoltre, l’emissione di una sanzione pecuniaria è l’unico provvedimento a disposizione di un’autorità di controllo affinché possa effettivamente svolgere i propri compiti e aver accesso alle informazioni necessarie.
Ovviamente, la valutazione dei comportamenti ostativi avviene all’esito di un’attività istruttoria che non può, stante il particolare ambito di applicazione, considerare esclusivamente dei parametri strettamente legali. Per tale motivo è auspicabile che l’EDPB inizi a definire, tramite linee guida comuni, degli indicatori di riferimento, in modo tale da garantire un’uniformità sostanziale dell’applicazione di un obbligo che altrimenti sarebbe rimesso a singole valutazioni con elevati margini di discrezionalità.
