Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 300 000 euro mot Aimag S.p.A. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad person hade lämnat in ett klagomål till Garante och gjort gällande att det var möjligt att registrera sig till Aimags kundportal, som tillhandahölls via bolagets webbplats, genom att enbart ange personnummer och en valfri e-postadress, utan att bolaget kontrollerade användarens identitet eller att e-postadressen faktiskt tillhörde den registrerade.
Garantes utredning visade att användare som registrerade sig på detta sätt kunde få tillgång till omfattande personuppgifter, såsom fakturor, historik över förbrukning, adressuppgifter och telefonnummer. Vidare konstaterades att samtyckesrutorna för marknadsföring och kundnöjdhetsundersökningar i registreringsformuläret var förkryssade samt att informationen om behandling av personuppgifter var fragmenterad, otydlig och inte tydligt kopplad till registreringsförfarandet, i strid med transparenskraven i artikel 13 GDPR.
Aimag invände bland annat att personnumret inte är lättillgängligt, att bolaget verkar inom ett reglerat monopolområde (vatten och avfall), samt att enklare inloggningsrutiner var nödvändiga för att säkerställa användarvänlighet och uppfylla sektorsspecifika informationsskyldigheter. Bolaget hävdade också att behandlingar för marknadsföringsändamål huvudsakligen avsåg institutionell information och att en lagringstid om fem år för marknadsföringsuppgifter var proportionerlig.
Garante avfärdade Aimags invändningar och konstaterade att bolaget hade åsidosatt flera grundläggande principer i GDPR. Myndigheten ansåg att ett registreringssystem som enbart baseras på personnummer och en okontrollerad e-postadress inte uppfyller kraven på lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt artiklarna 5.1 (f), 24, 25 och 32 GDPR, särskilt med beaktande av det stora antalet berörda registrerade och den känsliga information som gjordes tillgänglig.
Vidare slog Garante fast att användningen av förkryssade samtyckesrutor strider mot definitionen av samtycke i artikel 4.11 GDPR samt villkoren i artikel 7 GDPR och skäl 32 i förordningen. Behandlingen av personuppgifter för marknadsföringsändamål saknade därmed giltig rättslig grund enligt artikel 6 GDPR och tillämplig nationell rätt. Myndigheten noterade även att de olika informationsdokumenten på webbplatsen inte uppfyllde kraven på tydlighet och transparens enligt artikel 13 GDPR, eftersom det inte klart framgick vilken information som var tillämplig för registrering till kundportalen.
När det gäller lagringstiden för marknadsföringsuppgifter ansåg myndigheten att en generell lagringstid om fem år inte var förenlig med principen om lagringsminimering i artikel 5.1 (e) GDPR. Tidsperioden bedömdes som oproportionerlig i förhållande till ändamålet och de registrerades rimliga förväntningar, särskilt eftersom utebliven återkallelse av samtycke över tid snarare kan bero på glömska än ett aktivt godkännande.
Mot denna bakgrund beslutade Garante att ålägga bolaget att införa lämpliga säkerhetsåtgärder för åtkomst till kundportalen samt att revidera samtyckesmekanismer och integritetsinformation i enlighet med kraven på korrekthet och transparens. Därutöver ålades Aimag att betala en administrativ sanktionsavgift om 300 000 euro.