Svezia: L'utente non è parte dei propri diritti sulla privacy?
Il DPA svedese (IMY) si rifiuta di prendere una decisione su un reclamo GDPR, sostenendo che l'utente non è parte dei propri diritti. In sostanza, l'IMY sembra ritenere che il "diritto al reclamo" ai sensi dell'articolo 77 del GDPR, che dovrebbe dare a tutti libero accesso all'applicazione della normativa, sia solo un diritto di "petizione" all'autorità. noyb presenta oggi un ricorso al tribunale amministrativo di Stoccolma.
Un mese secondo il GDPR diventa tre anni nella realtà. In base al GDPR, tutti hanno il diritto di accedere ai propri dati, compresa una copia di tutti i dati e una spiegazione dell'utilizzo dei dati. Il termine legale per rispondere a una richiesta di accesso è di un mese. Nel 2019, nell'ambito di un progetto sulle società di streaming, noyb ha anche presentato un reclamo contro Spotify per una risposta incompleta a una richiesta di accesso. La denuncia, presentata in Austria, è stata inoltrata all'IMY svedese, che è responsabile per Spotify. Da allora il caso non è stato ancora deciso. Al contrario, la DPA svedese sostiene di avere un'indagine più ampia su Spotify - da più di tre anni. L'utente interessato è comunque ancora in attesa di ricevere tutte le informazioni del caso
Richiesta di decisione respinta. Secondo la legge svedese, una parte può richiedere una decisione entro quattro settimane, se un'autorità non ha deciso entro sei mesi. Nel giugno 2022, noyb ha inviato tale richiesta all'IMY svedese. Sorprendentemente, l'IMY svedese ha respinto la richiesta con la motivazione che l'interessato non era parte della procedura sul suo diritto di accesso.
"Immaginate di non essere parte in causa in una causa che riguarda la vostra licenza edilizia o il vostro diritto alla libertà di parola. L'idea che nell'UE esista un diritto fondamentale alla protezione dei dati, ma che in Svezia non sia possibile farlo rispettare, è semplicemente sconvolgente. Il GDPR dice chiaramente che si ha il diritto di presentare un reclamo e di appellarsi in caso di mancata decisione" - Max Schrems, presidente di noyb.eu
L'inattività amministrativa diventa arbitraria. La situazione in cui si trova l'interessato è quindi paradossale. Sia il GDPR che la legge austriaca assegnano al reclamante il ruolo di parte nella procedura di contenzioso. Tuttavia, quando la procedura viene inviata a un'altra autorità capofila ai sensi del GDPR, queste garanzie sembrano svanire nella realtà. Secondo l'interpretazione di IMY della legge svedese, il reclamante non ha alcuna possibilità di partecipare alla procedura o di far valere i propri diritti. Pertanto, la decisione di far valere o meno i propri diritti sarebbe assolutamente arbitraria da parte dei burocrati, senza alcuna possibilità di ricorso se l'IMY non se la sente di fare il proprio lavoro.
"In conclusione, l'IMY dice di poter semplicemente ignorare i diritti dei cittadini europei ai sensi del GDPR. Questo non è né quello che dice il GDPR, né quello che richiede lo stato di diritto" - Max Schrems, presidente di noyb.eu
Ricorso contro l'inazione del DPA. Per questi motivi, noyb ha deciso di presentare un ricorso contro la decisione dell'IMY. In sintesi, il ricorso respinge l'idea che una persona interessata non sia parte di una procedura sui propri diritti. Se il caso avrà successo, l'IMY dovrà far valere i diritti degli utenti come previsto dal GDPR.