Den italienska dataskyddsmyndigheten Garante per la protezione dei dati personali (Garante) har bötfällt Studio Colli Aniene Verdocca S.r.l. med 5 000 euro för överträdelse av bland annat artiklarna 5.1 (a), 5.2, 6.1, 7, 12.1, 12.3, 14, 15, 17, 21 och 24 i dataskyddsförordningen (GDPR).
Av beslutet framgår att Garante tagit emot ett klagomål från en enskild som fått olika marknadsföringssamtal avseende tjänster som erbjöds av en fastighetsbyrå. Den klagande svarade, i egenskap av innehavare av de telefonnummer som användes för reklamsamtalen, med att framställa förfrågningar om att utöva sina rättigheter.
Efter att ha mottagit klagomålet inledde Garante en preliminär utredning där det konstaterades att reklamsamtalen inte utförts av den berörda fastighetsbyrån, utan snarare av Studio Colli Aniene som på grundval av dess egna oberoende datainsamling, klassades som självständigt personuppgiftsansvarig. Under utredningen konstaterade Garante att Studio Colli Aniene systematiskt samlat in personuppgifter som hittats på nätet och därefter använt dem för att genomföra reklamkommunikation, utan att de registrerade gett sitt samtycke till marknadsföringen och utan att det fanns någon annan lämplig rättslig grund för detta. Garante ansåg därför att Studio Colli Aniene bland annat brutit mot artiklarna 6.1 och 7 GDPR.
Garante fastställde dessutom att Studio Colli Aniene inte gett den klagande den information som krävs enligt artikel 14 GDPR om de uppgifter som indirekt samlats in. Studio Colli Aniene hade inte heller bekräftat begäran om att utöva sina rättigheter inom de tidsfrister som anges i artikel 12.3 GDPR. Garante konstaterade dessutom att Studio Colli Aniene under utredningen inte gett någon förklaring till varför de inte hade lämnat något svar på den klagandes begäran.
Garante noterade vidare att Studio Colli Aniene erkänt att de trots klagandens invändningar ringt ytterligare oönskade samtal till klaganden på grund av ett påstått fel. Enligt Garante verkade det därför inte som om Studio Colli Aniene hade ett system som gjorde det möjligt att underlätta utövandet av de registrerades rättigheter. Garante ansåg därför att Studio Colli Aniene hade brutit mot artiklarna 12.3, 14, 15, 17 och 21 GDPR.
Garante tog dessutom hänsyn till de svar som Studio Colli Aniene gett Garante under utredningen och ansåg att de inte var tillfredsställande. Garante rapporterade till exempel att Studio Colli Aniene underlåtit att bekräfta mängden uppgifter som samlades in online för reklamkampanjerna och de åtgärder som vidtagits för att säkerställa att de registrerades rätt att göra invändningar kunde utövas. Garante ansåg därför att Studio Colli Aniene också brutit mot artiklarna 5.2 och 24 GDPR. På liknande sätt framhöll Garante att Studio Colli Anienes underlåtenhet att lämna den begärda informationen till Garante också avslöjade ett brott mot skyldigheten att tillhandahålla insyn, vilket resulterade i en överträdelse av artiklarna 5.1 (a) och 12.1 GDPR.
Mot bakgrund av de inträffade överträdelserna beslutade Garante att bötfälla Studio Colli Aniene med 5 000 euro och beordrade att beslutet skulle offentliggöras på dess webbplats som en kompletterande påföljd.
Därutöver förbjöd Garante Studio Colli Aniene att i reklamsyfte behandla personuppgifter som hittats på nätet och för vilka företaget inte kan visa att det har fått ett giltigt samtycke från de berörda personerna. Garante beordrade även Studio Colli Aniene att vidta lämpliga åtgärder för att säkerställa ett effektivt svar på de registrerades förfrågningar, samt att förse de registrerade med lämplig förhandsinformation om behandlingen av deras uppgifter.