Violazione della privacy, tre ammende pesanti in Finlandia

Le infrazioni hanno riguardato la fornitura di informazioni insufficienti sui diritti di protezione dei dati, il mancato rispetto di una valutazione d’impatto e la raccolta non necessaria di dati personali
L’ufficio delle sanzioni del Mediatore per la protezione dei dati finlandese ha imposto multe amministrative a tre società per violazione della legislazione sulla protezione dei dati.
Nel primo caso, il tutto è nato dal reclamo di alcune persone che avevano ricevuto comunicazioni e marketing diretto da varie società dopo aver effettuato notifiche di cambio di indirizzo a “Posti Oy”, che è il principale operatore di servizi postali in Finlandia. L’indagine condotta dall’Ufficio del Mediatore per la protezione dei dati ha rivelato che “Posti” non aveva informato gli interessati dei loro diritti, incluso il diritto di opporsi alla divulgazione dei dati, in relazione all’emissione di notifiche di cambio di indirizzo. La società avrebbe dovuto informare chiaramente i propri clienti sul loro diritto di opporsi al trattamento dei loro dati personali. “Posti” ha inviato tali notifiche solo ai clienti che hanno acquistato servizi aggiuntivi oltre a inviare la notifica di cambio di indirizzo. Le violazioni, solo nel 2019, hanno interessato 161 mila clienti. Alla società è stata inflitta una ammenda amministrativa di 100 mila euro.
Posti aveva avvisato il Mediatore per la protezione dei dati che avrebbe esaminato le possibilità per migliorare la trasparenza del trattamento dei dati personali già nel 2017, ma soltanto nel 2020, dopo l’ennesimo richiamo, la società ha migliorato le sue pratiche di informazione ai clienti.
La seconda decisione ha riguardato una società che ha elaborato i dati sulla posizione dei propri dipendenti monitorando i veicoli con un sistema di informazione sui veicoli. Il responsabile del trattamento non aveva effettuato la valutazione di impatto richiesta dal Gdpr prima di iniziare a elaborare i dati sulla posizione. I dati sulla posizione sono stati utilizzati, tra le altre cose, per monitorare l’orario di lavoro. Va ricordato, infatti, che è necessaria una valutazione d’impatto sulla protezione dei dati se il trattamento può comportare un rischio elevato per i diritti e le libertà degli interessati. Alla società in questione è stata inflitta un’ammenda amministrativa di 16 mila euro.
Nel terzo caso, il Mediatore, dopo essere stato informato che una società raccoglieva dati personali non necessari da candidati e dipendenti, ha ordinato alla stessa di eliminare le informazioni non necessarie e ha emesso un rimprovero sulle carenze della documentazione. Il consiglio delle sanzioni ha inoltre inflitto un’ammenda amministrativa di 12.500 euro alla società.
Secondo la legge finlandese sulla protezione della vita privata nella vita lavorativa, al datore di lavoro è consentito solo elaborare i dati necessari alla luce del rapporto di lavoro. Sono state inoltre rilevate carenze nella documentazione del responsabile del trattamento relativa alla conformità al Gdpr. La società aveva chiesto informazioni su questioni quali credenze religiose, stato di salute, possibile gravidanza e stato familiare delle persone interessate.
FONTE: edpb.europa.eu
Protezione dei dati, protezione dei dati personali, trattamento dati personali, violazione privacy