{{feedLink}}

Una faccia, una razza. Le poste polacche e il ricorrente vizietto di non utilizzare il cervello.

elezioni Christian Bernieri
(Aggiornato il )

Già lo sento arrivare: "ma tanto i dati anagrafici non sono pericolosi."  Ma certo, come no.

 

Il "Garante Privacy" polacco ha sanzionato pesantemente le POSTE POLACCHE  (€6.400.000) e il Ministro degli Affari digitali  (€23.757).

Le sanzioni riguardano il trattamento dei dati personali di 30 milioni di cittadini iscritti nell'anagrafe nazionale in relazione ai preparativi delle cosiddette elezioni per corrispondenza di aprile e maggio 2020.

L'ammenda inflitta al ministro degli Affari digitali è la sanzione massima prevista dalla legge per gli enti pubblici in Polonia.

Per le Poste, l'importo della sanzione è determinato sulla base del GDPR e costituisce una risposta adeguata ed equa dell'autorità di controllo alle violazioni accertate, tenuto conto, tra l'altro, della natura e della gravità delle violazioni.

 

Le premesse al disastro

Il caso riguarda il tentativo di organizzare le elezioni del Presidente della Repubblica di Polonia esclusivamente per corrispondenza nella

Primavera del 2020, in piena pandemia di COVID-19. Le autorità hanno avviato l'organizzazione delle elezioni per corrispondenza del Presidente della Repubblica. Solo successivamente entrò in vigore una legge di modifica delle norme elettorali che prevedeva che le Poste consegnassero agli elettori, tramite le cassette postali, le buste elettorali stampate dalla Zecca di Stato e che gli elettori esprimessero il proprio voto per corrispondenza, in modo da non riunirsi di persona nei seggi elettorali.

Prima che questa norma entrasse in vigore, su ordine del Primo ministro, Poste chiese ed ottenne i dati di 30 milioni di cittadini polacchi che avrebbero raggiunto la maggiore età e risiedevano in Polonia alla data prevista per le elezioni.

Il ministro degli Affari digitali ha dato il suo consenso e i dati registrati su DVD sono stati consegnati a Poste il 22 aprile 2020 e trattati per le operazioni preliminari.

I dati personali di circa 30 milioni di cittadini polacchi sono stati distrutti solo tra il 15 e il 22 maggio 2020, dopo che è diventato chiaro che le elezioni del 10 maggio 2020 non si sarebbero svolte.

 

Reclami dei cittadini

Subito dopo la comunicazione dei dati personali dell'anagrafe a poste, senza una base giuridica, i cittadini hanno iniziato a presentare numerosi reclami all'autorità Garante per la protezione dei dati personali. Inizialmente, il Garante ha ritenuto infondati tali reclami.

Tuttavia, il Commissario per i diritti umani ha intrapreso un'azione in merito. In primo luogo, il 29 aprile 2020, il Commissario ha presentato ricorso al Tribunale amministrativo regionale di Varsavia contro la decisione del Primo Ministro del 16 aprile 2020. A seguito di tale reclamo, il Tribunale amministrativo regionale, con sentenza del 15 settembre 2020 (VII SA/Wa 992/20), ha ritenuto che la decisione contestata non solo violasse gravemente la legge, ma fosse anche stata emanata senza una base giuridica (articolo 156, paragrafo 1, punto 2, del codice di procedura amministrativa). Tale sentenza è stata confermata dal Tribunale amministrativo supremo con sentenza del 28 giugno 2024 (III OSK 4524/21).

Successivamente, il 15 maggio 2020, il Commissario ha presentato ricorso dinanzi al Tribunale amministrativo regionale contro il provvedimento del Ministro degli Affari digitali del 22 aprile 2020 consistente nel rendere disponibili alle Poste i dati personali di quasi 30 milioni di cittadini polacchi adulti. Con sentenza del 26 febbraio 2021 (IV SA/Wa 1817/20), il Tribunale amministrativo regionale ha dichiarato inefficace l'atto del ministro degli Affari digitali. Con sentenza del 13 marzo 2024 (II OSK 1630/21), il Tribunale amministrativo supremo ha confermato la sentenza del Tribunale amministrativo regionale.

La legittimità delle sentenze dei tribunali amministrativi di marzo e giugno 2024 ha definito in modo inequivocabile e definitivo la situazione, dalla quale risulta chiaro che durante l'organizzazione delle elezioni per corrispondenza, i dati personali di 30 milioni di cittadini polacchi adulti sono stati illegalmente messi a disposizione di Poste dal ministro per gli Affari digitali e trattati da Poste senza una base giuridica.

Data la rilevanza e l'esposizione mediatica della vicenda, il presidente dell'Ufficio per la protezione dei dati personali ha avviato un'istruttoria per valutare le azioni del ministro degli Affari digitali e di Poste nell'aprile e nel maggio 2020 per violazione delle disposizioni del regolamento generale sulla protezione dei dati (GDPR).

 

Esito dell'istruttoria del Garante

Nel corso dell'istruttoria, il Garante per la protezione dei dati personali ha stabilito che, senza una base giuridica, il ministro degli Affari digitali aveva fornito a Poste i seguenti dati:

• numero identificativo,

• nomi, cognomi,

• l'ultimo indirizzo di residenza permanente registrato (e, se mancante, l'ultimo indirizzo non più valido)

• indirizzo di registrazione per il soggiorno temporaneo (insieme alla data dichiarata di tale soggiorno),

• nonché l'attuale registrazione di partenza temporanea dal paese.

Tali dati riguardavano tutti i cittadini polacchi maggiorenni il cui paese di residenza al 10 maggio 2020 era la Polonia. Dopo averli ricevuti, Poste li ha trattati senza una base giuridica.

Nella sua decisione, il presidente dell'Ufficio per la protezione dei dati personali ha ritenuto che le violazioni attribuite a Poste fossero di natura grave e contrarie ai principi fondamentali del trattamento dei dati personali.

Il presidente dell'Ufficio per la protezione dei dati personali ha tenuto conto, come circostanza aggravante che incide sull'importo dell'ammenda inflitta, della possibilità di un danno immateriale per gli interessati, quale, in particolare, il timore o l'incertezza derivanti dall'impossibilità di esercitare il controllo sui propri dati personali, tenuto conto del fatto che questi erano stati illecitamente messi a disposizione di Poste.

 

Il punto della questione

Nella sua decisione, l'autorità di controllo ha indicato che Poste, in quanto impresa pubblica, dovrebbe, nell'esercizio delle funzioni pubbliche, essere caratterizzata dalla massima diligenza e dal rispetto del diritto, comprese le disposizioni in materia di protezione dei dati personali. Al ricevimento della decisione del Primo Ministro del 16 aprile 2020, che obbligava Poste ad adottare misure per prepararsi alle elezioni, la società avrebbe dovuto effettuare un'analisi approfondita per verificare se potesse trattare i dati dell'anagrafe su tale base.

 

Ci sono giorni in cui ringrazio di cuore persone che stimo perché mi insegnano qualcosa che non so e mi danno l'opportunità di approfondire.

Oggi ringrazio Walter Vannini perché nel suo blog (Dataknightmare) ha citato più volte un fatto storco che mi ha impressionato, anzi, mi ha terrorizzato: nella seconda guerra mondiale, l'anagrafe Olandese riportava le normali informazioni e, inoltre, l'etnia. Grazie a questa geniale idea, i nazisti rastrellarono il 75% degli ebrei olandesi. In altre nazioni dove l'anagrafe non aveva la pretesa di registrare dati inutili, il rastrellamento fu molto meno efficiente come il 25% della Francia.

Sempre oggi ringrazio anche Stefano Gazzella, altra persona che stimo, perché mi ha segnalato una recente tragedia riguardante l'anagrafe Polacca.

 

Ci sono giorni in cui ho la sensazione che la storia si ripeta nel peggiore dei modi: ripercorrendo le orme dei pessimi esempi e facendo i medesimi e tragici errori che l'umanità ha già ampiamente esplorato. Siamo incapaci di imparare, nemmeno spaccandoci il grugno contro la più brutale evidenza. 

 

Ci sono giorni in cui penso che le Autorità Garanti siano rese inutili dalle norme che ne regolano il funzionamento. Non serve a nulla arrivare dopo le tragedie, indagare con tempi geologici con lo scopo di stabilire chi ha sbagliato e perché. Le sanzioni non hanno mai cambiato le cose e, parlando di dati personali, i danni sono quasi sempre irreparabili. Nel nostro mondo serve rapidità, reattività, proattività.

 

A volte le giornate coincidono.

 

Prosit.

 

 

Tratto dal comunicato stampa: https://uodo.gov.pl/en/553/1884

 

Christian Bernieri

“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E.

Consulente privacy (oppure) DPO. Mai le due cose contemporaneamente!

Principal Consultant presso SGST srl

Su Twitter (X) ero @prevenzione ma  ho cancellato tutto. "Io li odio i nazisti dell'Illinois."  (cit.)

 

Sono su BLUESKY, sono @garantepiracy.it

Sono anche su Linkedin

 

Se mi cerchi fisicamente, mi puoi trovare qui: φ 42° 21,5′ N - λ 10° 3,85′ E

Puoi mandarmi messaggi diretti e anonimi via Signal

Letture totali:  

...