Data Diggers sancționată de ANSPDCP: trei amenzi GDPR și măsuri corective pentru lipsa transparenței și nerespectarea drepturilor persoanelor vizate
Contextul investigației
ANSPDCP a finalizat o investigație declanșată în urma unor sesizări transmise de două autorități europene de protecție a datelor. Operatorul vizat, Data Diggers Market Research SRL, furnizor de servicii de cercetare de piață, a fost verificat pentru modul în care gestionează datele persoanelor vizate și pentru respectarea obligațiilor de transparență.
Investigația a scos la iveală trei încălcări majore ale RGPD, fiecare având impact direct asupra drepturilor fundamentale ale persoanelor vizate.
Încălcările constatate de ANSPDCP
1. Încălcarea dreptului de acces – Art. 15 RGPD
Operatorul nu a furnizat informațiile complete solicitate de persoanele vizate.
Conform art. 15, orice persoană are dreptul să știe:
- ce date sunt prelucrate
- în ce scop
- cui sunt divulgate
- cât timp sunt păstrate
- care sunt drepturile sale
Nerespectarea acestui drept afectează transparența și controlul persoanei asupra propriilor date.
Sancțiune aplicată: 5.000 Euro
2. Încălcarea obligației de informare – Art. 14 RGPD
La prima comunicare cu persoanele vizate, operatorul nu a furnizat informațiile obligatorii, precum:
- identitatea operatorului
- scopurile prelucrării
- temeiul legal
- drepturile persoanei vizate
- sursa datelor
Această obligație este esențială în special în activitățile de marketing, sondaje și cercetare de piață.
Sancțiune aplicată: 2.000 Euro
3. Lipsa unui temei legal pentru prelucrare – Art. 6 RGPD
Operatorul nu a putut demonstra legalitatea prelucrării.
În lipsa unui temei valid (consimțământ, interes legitim, obligație legală etc.), orice prelucrare devine neconformă.
Aceasta este una dintre cele mai grave încălcări posibile în RGPD.
Sancțiune aplicată: 5.000 Euro
Total sancțiuni: 11.000 Euro
Măsura corectivă impusă de ANSPDCP
Pe lângă amenzi, autoritatea a dispus:
Instruirea regulată a personalului privind:
- gestionarea cererilor persoanelor vizate
- respectarea condițiilor de legalitate
- aplicarea corectă a procedurilor interne
- răspunsul în termen la solicitări
Această măsură confirmă că problemele identificate sunt sistemice, nu izolate.
Impactul cazului asupra companiilor din România
Acest caz reprezintă un semnal clar pentru toate organizațiile care:
- prelucrează date în activități de marketing sau cercetare
- folosesc baze de date externe
- contactează persoane vizate fără informare prealabilă
- nu au proceduri interne pentru gestionarea cererilor GDPR
Transparența și temeiul legal nu sunt opționale.
Lipsa instruirii interne poate duce la amenzi, litigii și pierderea încrederii.
Concluzie
Cazul Data Diggers arată încă o dată că:
- drepturile persoanelor vizate trebuie tratate cu prioritate
- informarea corectă este obligatorie
- temeiul legal trebuie documentat
- personalul trebuie instruit constant
Companiile care ignoră aceste obligații riscă sancțiuni financiare și reputaționale.