Economia

Multa a un provider ridotta da 100mila a 5mila euro: violato GDPR ma senza danno concreto

lentepubblica.it Accade in Belgio: multa a un provider ridotta da 100mila a 5mila euro poiché, secondo i giudici, la violazione del GDPR non ha causato un danno concreto. Una sentenza della Corte d’Appello di Bruxelles rivede al ribasso una sanzione inflitta a una compagnia telefonica per la risposta tardiva a una richiesta di accesso ai dati […] The post Multa a un provider ridotta da 100mila a 5mila euro: violato GDPR ma senza danno concreto appeared first on lentepubblica.it.

Apr 18, 2025 - 12:15
 0
Multa a un provider ridotta da 100mila a 5mila euro: violato GDPR ma senza danno concreto

lentepubblica.it

Accade in Belgio: multa a un provider ridotta da 100mila a 5mila euro poiché, secondo i giudici, la violazione del GDPR non ha causato un danno concreto.

Una sentenza della Corte d’Appello di Bruxelles rivede al ribasso una sanzione inflitta a una compagnia telefonica per la risposta tardiva a una richiesta di accesso ai dati personali.

Una compagnia di telecomunicazioni belga è riuscita a ottenere un’importante riduzione della multa che le era stata inflitta per aver risposto con 14 mesi di ritardo a una richiesta di accesso ai dati da parte di un cliente, come previsto dal Regolamento generale sulla protezione dei dati (GDPR). La Corte d’Appello di Bruxelles ha abbassato la sanzione da 100.000 a 5.000 euro, giudicando eccessiva la pena iniziale.

Il caso

Tutto ha avuto origine da una richiesta presentata da un utente ai sensi dell’articolo 15 del GDPR, che garantisce il diritto ad accedere ai propri dati personali. Il gestore, però, ha fornito una risposta solo più di un anno dopo, quando ormai la segnalazione dell’utente all’autorità garante per la protezione dei dati (DPA) era già stata inoltrata.

Il Garante belga aveva sanzionato l’operatore per aver violato gli obblighi previsti dagli articoli 12.2, 12.3 e 15 del GDPR. In particolare, si contestava la mancata agevolazione dell’esercizio del diritto da parte dell’interessato e la totale assenza di un meccanismo chiaro e accessibile per indirizzare le richieste al responsabile della protezione dei dati (DPO).

Il ricorso

L’azienda ha presentato ricorso contro la sanzione, sostenendo che la violazione fosse un episodio isolato, senza intenzionalità né impatti concreti sull’interessato, che non avrebbe subito danni reali ma soltanto un disagio. Inoltre, ha evidenziato di non avere precedenti violazioni del GDPR e di aver collaborato con il Garante, adottando nuove misure interne per gestire meglio le richieste in futuro.

Secondo la difesa, la multa imposta risultava sproporzionata rispetto alla gravità effettiva dell’infrazione e avrebbe potuto essere sostituita con una misura più blanda, come un richiamo formale. A suo avviso, l’Autorità non avrebbe motivato adeguatamente perché avesse scelto proprio una sanzione amministrativa, né avrebbe valutato in modo completo i criteri previsti dall’articolo 83 del GDPR per determinare l’entità delle multe.

Il verdetto della Corte

La Corte d’Appello di Bruxelles ha riconosciuto la violazione del diritto di accesso, stabilendo che la risposta alla richiesta del cliente – contenente i log relativi al contratto per tutto il 2021 – era giunta con un ritardo inaccettabile rispetto ai termini di legge. Tuttavia, ha ritenuto che la sanzione iniziale fosse eccessiva, tenuto conto di alcuni elementi attenuanti: la natura non intenzionale della violazione, l’assenza di dati sensibili, il carattere isolato dell’episodio e l’assenza di precedenti.

La Corte ha inoltre osservato che l’operatore aveva effettivamente risposto alla richiesta, seppure tardivamente, e aveva successivamente rafforzato le proprie procedure interne. Per queste ragioni, ha deciso di ridurre la multa a 5.000 euro.

Il ruolo dell’Autorità garante

L’Autorità per la protezione dei dati aveva difeso la legittimità della sanzione, sostenendo che la violazione dei diritti degli interessati – in particolare il mancato rispetto delle scadenze previste – fosse da considerarsi grave, soprattutto considerando che l’attività principale dell’azienda è proprio il trattamento di dati personali. Inoltre, secondo il Garante, l’ammenda serviva da deterrente e non era pensata come risarcimento per il cliente, bensì come punizione per la violazione delle norme.

Tuttavia, la Corte ha ritenuto che l’Autorità non avesse dimostrato in modo sufficiente la necessità di ricorrere a una sanzione pecuniaria di tale entità, mancando di spiegare perché misure alternative non sarebbero state adeguate.

Quale impatto avrà la decisione?

Il caso solleva questioni importanti sull’equilibrio tra tutela dei diritti digitali e proporzionalità delle sanzioni. La sentenza della Corte di Bruxelles non mette in discussione il principio per cui le richieste degli interessati debbano essere trattate tempestivamente e in modo trasparente, ma invita a una valutazione più attenta del contesto e delle reali conseguenze delle violazioni. In questo caso, la giustizia ha riconosciuto l’errore dell’azienda, ma ha ritenuto che la risposta sanzionatoria dovesse essere calibrata con maggiore misura.

Il testo della pronuncia

Qui il documento completo (in lingua francese).

The post Multa a un provider ridotta da 100mila a 5mila euro: violato GDPR ma senza danno concreto appeared first on lentepubblica.it.

Leggi Di Più

Tag:

Articolo precedente

Cosa sono le Aree Omogenee?

Articolo successivo

Bando Sport e Salute 2025: cento nuovi spazi contro il degrado urbano in tutta I...

Articoli Correlati