Potrivit unui comunicat transmis de instituție, investigația desfășurată în cazul companiei Dante International SA a fost încheiată, iar concluziile au evidențiat încălcarea unor prevederi importante din Regulamentul General privind Protecția Datelor (RGPD). Drept urmare, operatorul a fost sancționat cu o amendă de 49.770 lei (echivalentul a 10.000 de euro).

Ancheta a fost declanșată în urma unei plângeri depuse de un client, care a acuzat că Dante International i-a prelucrat datele cu caracter personal fără consimțământ, în special adresele de e-mail asociate contului său creat pe platforma online a companiei.

Promisiuni de ștergere… nerespectate

Potrivit ANSPDCP, în timpul investigației s-a constatat că, deși operatorul a informat clientul că adresele sale de e-mail au fost șterse la cerere, acesta a continuat să primească mesaje nesolicitate pe acele adrese, inclusiv invitații de a oferi opinii sau evaluări („feedback“).

Mai mult, s-a constatat că anumite persoane din rândul colaboratorilor companiei aveau în continuare acces la datele personale ale petentului. Acest aspect a demonstrat că ștergerea nu a fost efectivă, iar prelucrarea datelor a continuat, încălcând astfel dreptul la ștergere (art. 17 din RGPD) și obligația de notificare a destinatarilor (art. 19 din RGPD).

Un alt aspect grav constatat a fost gestionarea inadecvată a solicitărilor clientului. Deși acesta a trimis mai multe cereri, operatorul nu a oferit răspunsuri clare, transparente și inteligibile, contrar prevederilor art. 12 alin. (1) din regulament.

Măsuri corective impuse de autoritate

Pe lângă sancțiunea financiară, ANSPDCP a impus și măsuri corective obligatorii pentru Dante International.

„S-au dispus față de operator următoarele măsuri corective:

• de a transmite un răspuns scris la cererile petentului, potrivit art. 17 din RGPD și care să respecte condițiile de transparență, claritate și inteligibilitate prevăzute de art. 12 din RGPD;
• de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale, prin adoptarea măsurilor tehnice și organizatorice necesare, inclusiv sub aspectul instruirii corespunzătoare a personalului desemnat în acest scop, astfel încât operatorul să fie capabil să primească, să analizeze, să soluționeze în mod corect și să răspundă la toate cererile prin care persoanele vizate își exercită drepturile, în cadrul termenelor și potrivit condițiilor prevăzute de art. 12-23 din RGPD, inclusiv sub aspectul condițiilor legate de transparență, claritate și inteligibilitate a informațiilor și comunicărilor pe care operatorul le transmite persoanelor vizate în urma exercitării drepturilor;
• măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale, prin adoptarea măsurilor tehnice și organizatorice necesare, inclusiv sub aspectul instruirii corespunzătoare a personalului desemnat în acest scop, astfel încât, în cazul admiterii cererilor de ștergere sau rectificare a unor date personale din conturile deschise pe platforma sa online, aceste operațiuni să devină efective imediat („fără întârzieri nejustificate”) și să fie notificate destinatarilor, potrivit art. 16, art. 17 și art. 19 din RGPD, luând în considerare și respectarea principiilor statuate de art. 5 din RGPD, în speță, a celui prevăzut de art. 5 alin. (1) lit. d) din RGPD“, a transmis ANSPDCP.