Il Tribunale amministrativo federale austriaco ha confermato una pesante multa nei confronti dell'Austrian Post. L'azienda aveva trattato dati sulle opinioni politiche ("affinità") senza una base legale e li aveva utilizzati per il marketing diretto. La sentenza mostra gli errori che le aziende possono commettere nel trattamento dei dati sensibili e le conseguenze della violazione del GDPR.
Fatti e svolgimento del processo
Österreichische Post AG gestiva un ampio database con indirizzi di gruppi target, che veniva utilizzato per misure di marketing mirate. Venivano analizzate e memorizzate varie caratteristiche personali per consentire campagne pubblicitarie personalizzate. Un elemento centrale era il calcolo delle cosiddette "affinità", che indicavano la probabilità che una persona potesse essere interessata alla pubblicità di determinati partiti politici. Queste affinità sono state ricavate da dati socio-demografici, comportamenti di acquisto precedenti e altri criteri e sono state memorizzate nel database. I valori calcolati non venivano utilizzati solo per scopi di analisi interna, ma venivano anche venduti a società terze.
L'azienda ha raccolto anche altri dati personali, tra cui informazioni sulla frequenza dei pacchi, ossia sulla frequenza con cui una persona ha ricevuto pacchi in un determinato periodo. Questi dati sono stati ottenuti collegandoli ai servizi logistici. Inoltre, l'azienda ha analizzato le probabilità di trasferimento basandosi, tra l'altro, sugli ordini di spedizione. Queste informazioni sono state utilizzate per segmentare ulteriormente i gruppi target.
L'autorità per la protezione dei dati è venuta a conoscenza dell'azienda dopo le notizie diffuse dai media sul possibile uso improprio di dati sensibili. Nel gennaio 2019 ha avviato un'indagine sulla legittimità del trattamento dei dati. L'indagine ha rivelato che l'azienda non aveva ottenuto il consenso degli interessati per il trattamento dei loro dati. Inoltre, non era stata effettuata correttamente una valutazione d'impatto sulla protezione dei dati.
Sulla base di questi risultati, è stato avviato un procedimento penale amministrativo che si è concluso con una multa considerevole. L'autorità per la protezione dei dati ha imposto una multa di 18 milioni di euro per violazione del GDPR. L'azienda ha quindi presentato ricorso al Tribunale amministrativo federale, che ha riesaminato il caso ed esaminato in dettaglio il quadro giuridico del trattamento dei dati. Di conseguenza, l'importo della multa è stato adeguato, mentre le violazioni della protezione dei dati riscontrate sono state sostanzialmente confermate.
Il trattamento delle affinità politiche viola il GDPR
Il tribunale ha stabilito che il trattamento delle affinità politiche viola l'art. 9 del GDPR. Questa disposizione vieta in generale il trattamento dei dati personali che rivelano le opinioni politiche. A meno che non si applichi una delle eccezioni elencate nell'articolo 9, paragrafo 2, del GDPR. Poiché non vi era un consenso esplicito da parte degli interessati e non vi erano altre basi giuridiche legittime per il trattamento, esso è stato classificato come non autorizzato. L'azienda ha utilizzato metodi statistici per calcolare le probabilità delle preferenze politiche e le ha trasmesse a terzi allo scopo di fare pubblicità elettorale mirata. Ciò costituisce non solo una violazione del divieto di trattamento dei dati sensibili, ma anche del requisito di trasparenza e di correttezza ai sensi dell'art. 5 par. 1 del GDPR.
Un altro grave reato riguardava l'elaborazione delle frequenze dei pacchi. L'azienda ha utilizzato i dati sui pacchi ricevuti dalla divisione di consegna dei pacchi per creare proiezioni a fini di marketing. Questi dati sono stati ulteriormente elaborati per un nuovo scopo, originariamente non previsto, senza che gli interessati ne fossero a conoscenza o avessero dato il loro consenso. Il tribunale ha ritenuto che si trattasse di un cambiamento di finalità non autorizzato ai sensi dell'articolo 6, paragrafo 4, del GDPR, in quanto il nuovo utilizzo dei dati non era compatibile con la finalità originaria della consegna dei pacchi.
Il calcolo della probabilità di trasferimento è stato altrettanto problematico. L'azienda utilizzava i dati degli ordini di spedizione per calcolare la probabilità che determinate persone o famiglie si trasferissero in futuro. Queste informazioni sono state poi utilizzate per un marketing diretto mirato. Poiché le persone interessate non avevano espressamente acconsentito a questo ulteriore trattamento e non avevano ricevuto informazioni chiare sull'uso dei dati, il tribunale ha ritenuto che anche questa fosse una violazione del GDPR. In questo contesto era particolarmente rilevante l'art. 14 del GDPR, che obbliga le aziende a informare gli interessati sull'origine e sulle finalità dei dati utilizzati, a meno che non siano stati raccolti direttamente da loro. L'inadeguatezza delle informazioni fornite agli interessati costituiva pertanto una violazione degli obblighi di informazione.
Trascurare le nozioni di base del GDPR
Inoltre, il tribunale ha rilevato che l'azienda non aveva tenuto un registro completo e conforme delle attività di trattamento. Ai sensi dell'art. 30 del GDPR, i responsabili del trattamento devono fornire una documentazione completa delle loro attività di trattamento dei dati. Il registro presentava carenze significative, in particolare nella descrizione delle categorie di dati e delle finalità per cui vengono utilizzati. Una documentazione errata o incompleta non solo rende più difficile l'ispezione da parte delle autorità di controllo, ma viola anche l'obbligo di rendicontazione di cui all'art. 5 par. 2 del GDPR.
Anche la valutazione d'impatto sulla protezione dei dati, richiesta dall'art. 35 del GDPR per i trattamenti di dati con un rischio particolarmente elevato, è stata ritenuta inadeguata. Il tribunale non ha condiviso la valutazione dell'azienda secondo cui non sussisteva un rischio elevato per i diritti e le libertà degli interessati. In particolare, il trattamento delle affinità politiche è stato classificato come ad alto rischio, in quanto può consentire un'influenza politica mirata e, in caso di divulgazione non autorizzata, può avere un impatto significativo sulla privacy degli interessati. La mancanza di un'analisi dei rischi completa e adeguata è stata quindi considerata un'ulteriore violazione del GDPR.
Conseguenze per le aziende
La sentenza dimostra che le violazioni della protezione dei dati possono avere notevoli conseguenze legali ed economiche. In particolare, il trattamento di dati sensibili (ad esempio, le affinità politiche) senza una chiara base legale comporta notevoli rischi per le aziende. In questo caso, l'autorità per la protezione dei dati ha imposto una multa di 18 milioni di euro, che il Tribunale amministrativo federale ha confermato ma ridotto a 16 milioni di euro. La multa è stata comminata a causa di diverse gravi violazioni del GDPR: in particolare in relazione al trattamento illecito dei dati sulle affinità politiche, all'ulteriore trattamento delle frequenze dei pacchi e delle probabilità di trasferimento, nonché all'inadeguata valutazione dell'impatto sulla protezione dei dati.
Le aziende devono assicurarsi che le loro valutazioni d'impatto sulla protezione dei dati coprano rischi realistici e si basino su una solida base giuridica. Un'informazione trasparente per gli interessati è essenziale per soddisfare i requisiti del GDPR. Il regolamento richiede una base giuridica chiara e verificabile per qualsiasi modifica delle finalità del trattamento dei dati. Se i dati personali vengono elaborati senza un consenso valido o senza un'altra base giuridica ammissibile, c'è il rischio di multe elevate e di possibili azioni civili da parte degli interessati.
Il Tribunale amministrativo federale ha inoltre stabilito che le aziende possono essere ritenute responsabili per le violazioni del GDPR senza che le violazioni siano direttamente attribuibili a una persona fisica. Questa decisione segue la giurisprudenza della Corte di giustizia europea (CGE) e chiarisce che le persone giuridiche possono essere ritenute pienamente responsabili per le violazioni della protezione dei dati, anche se non è possibile identificare una singola persona fisica responsabile. Ciò sottolinea la necessità di una strategia di protezione dei dati completa e preventiva nelle aziende, al fine di evitare potenziali multe e danni alla reputazione.
Suggerimento di lettura: Ecco le multe più alte del GDPR nel gennaio 2025
Requisiti GDPR elevati per il marketing diretto
La sentenza sottolinea gli elevati requisiti per il trattamento dei dati nel marketing diretto ed evidenzia le gravi conseguenze delle violazioni del Regolamento generale sulla protezione dei dati (GDPR). Le aziende devono non solo garantire che i loro processi di elaborazione dei dati siano conformi ai requisiti di legge, ma anche rivedere e adattare continuamente le loro misure di protezione dei dati.
Le violazioni del GDPR non solo possono comportare multe elevate, ma possono anche causare gravi danni alla reputazione che hanno un impatto duraturo sulla fiducia di clienti e partner commerciali. Il trattamento illecito di dati sensibili, come le affinità politiche o le informazioni personali provenienti da ordini di spedizione, è particolarmente problematico in quanto può violare in modo significativo la privacy delle persone interessate.
Le aziende devono quindi agire in modo proattivo ed effettuare valutazioni d'impatto complete sulla protezione dei dati per identificare e ridurre al minimo i rischi potenziali in una fase iniziale. Una comunicazione trasparente con le persone interessate e il rispetto di tutti gli obblighi di informazione sono essenziali. Inoltre, per garantire la corretta applicazione delle norme sulla protezione dei dati, sono necessarie chiare linee guida interne e la formazione dei dipendenti.
In definitiva, la sentenza dimostra che la protezione dei dati non è solo un problema di conformità, ma una sfida strategica per le aziende. Solo attuando il GDPR in modo coerente e responsabile le aziende possono mantenere la fiducia dei loro clienti nel lungo periodo ed evitare sanzioni legali.
Fonte: Sentenza (W258 2227269-1/39E) del Tribunale amministrativo federale austriaco
Italian 
German 
English 
French