L’Ufficio nazionale polacco per la protezione dei dati personali (UODO) ha giudicato l’azienda ClickQuickNow con sede a Varsavia colpevole di non aver adottato adeguate misure tecniche e organizzative per il ritiro semplice ed efficace del trattamento dei dati personali e non aver consentito l'esercizio del diritto di ottenere la cancellazione dei propri dati (diritto all'oblio). Ha, pertanto, violato i principi di liceità, correttezza e trasparenza del trattamento dei dati personali, specificati nell’art. 5 del GDPR.

Il Presidente dell'UODO ha riscontrato che le azioni della società erano anche incompatibili con l'articolo 7, paragrafo 3, del GDPR: la società, infatti, non ha tenuto conto del principio secondo cui il ritiro del consenso dovrebbe essere facile come darlo. Al contrario, ha applicato soluzioni organizzative e tecniche complicate. Inoltre, la società non ha facilitato l'esercizio dei diritti dell’interessato, come richiesto dall'articolo 12, paragrafo 2, del GDPR.

Il meccanismo di revoca del consenso, infatti, comporta l'uso di un link, incluso nelle informazioni commerciali, che ha lo scopo di facilitare e velocizzare la revoca. In questo caso, invece, al click sul link seguivano messaggi fuorvianti. Inoltre, la società costringeva l’utente a dichiarare il motivo del ritiro del consenso, cosa non richiesta dal Regolamento. La mancata indicazione del motivo comportava l'interruzione del processo di revoca. Nella sua decisione, il Presidente dell’UODO ha anche sottolineato che la società ha elaborato, senza alcuna base giuridica, i dati di persone che non sono suoi clienti e da cui la società ha ricevuto richieste di sospendere il trattamento dei propri dati personali. Pertanto, ha anche violato il cosiddetto "diritto all'oblio".

Nel determinare l'importo dell'ammenda, il presidente dell'UODO non ha tenuto conto di circostanze attenuanti, anzi, ha giudicato l'azione della società come intenzionale. Ora la ClickQuickNow dovrà  adeguare il processo di elaborazione delle richieste di revoca del consenso alle disposizioni del GDPR e cancellare i dati degli interessati che si oppongono al trattamento dei dati personali che li riguardano.

FONTE: European Data Protection Board https://edpb.europa.eu/news/national-news/2019/polish-dpa-withdrawal-consent-shall-not-be-impeded_en