Il garante privacy spagnolo ha sanzionato un partito politico nazionale per aver continuato ad inoltrare comunicazioni via e-mail ad un interessato che aveva revocato il proprio consenso.
Il 10 settembre 2020, L’Agencia Española de Protección de Datos, il garante privacy spagnolo (l’“AEPD”) ha emesso una sanzione nei confronti del partito politico VOX España di ammontare pari a € 1.500 per aver inoltrato comunicazioni via posta elettronica in assenza del necessario consenso dell’interessato, violando pertanto l’articolo 6, paragrafo 1, lett. a) del Regolamento generale sul trattamento dei dati personali 2016/679 (“GDPR”).
Dalla ricostruzione degli eventi contenuta nel provvedimento dell’AEPD, emerge che l’interessato, nell’aprile del 2019, aveva inoltrato al partito politico VOX España una e-mail, esercitando il proprio diritto di revoca del consenso precedentemente prestato ai sensi dell’articolo 7, paragrafo 3, del GDPR e chiedendo che i propri dati personali venissero cancellati dal database del partito. In assenza di risposta, aveva inoltrato nel maggio dello stesso anno una nuova e-mail, reiterando la richiesta di cancellazione, ricevendo il giorno seguente una conferma di ricezione della richiesta e dell’avvenuta cancellazione dei dati personali. Tuttavia, l’interessato aveva continuato a ricevere comunicazioni via e-email , segno che il partito conservava ancora i sui dati personali e ne faceva quindi un utilizzo illecito.
L’interessato aveva pertanto presentato reclamo al garante privacy spagnolo . Investita della questione, l’autorità sulla protezione di dati personali spagnola ha ritenuto fondate le pretese e, confermando la ricostruzione presentata nei motivi di reclamo, ha riscontrato l’assenza di basi giuridiche che potessero legittimare l’ulteriore trattamento dei dati da parte del partito. L’AEPD ha colto altresì l’occasione per ricordare che “quando l’interessato nega il consenso al trattamento dei propri dati, l’onere della prova è a carico di chi ne afferma l’esistenza, in quanto il titolare del trattamento raccoglie e conserva la documentazione necessaria a provare il consenso”.
Pertanto, il garante privacy spagnolo ha riconosciuto nella condotta di VOX España una violazione del GDPR, comminando una sanzione di importo pari a € 1.500. L’importo della sanzione pecuniaria emessa è senz’altro moderato, ma adeguato alla luce della condotta illecita riscontrata. Infatti, sebbene l’evento rivelasse una grave mancanza di diligenza da parte del partito nazionale, occorreva tenere conto di una serie di ulteriori fattori quali l’assenza di prove a sostegno del fatto che il partito avesse agito in modo fraudolento, così come l’ambito meramente locale del trattamento , il fatto che fosse stato coinvolto un solo interessato e che il danno sofferto da quest’ultimo – sebbene esistente – potesse considerarsi non significativo.
Sul medesimo argomento, è possibile leggere l’articolo “Il Garante privacy spagnolo condanna un social media per l’illecita gestione dei cookie”.