Violazioni del GDPR in Polonia: 6,7 milioni di euro di multe a enti pubblici

Nel mese di maggio 2025, l’Autorità polacca per la protezione dei dati personali ha reso note tre decisioni che hanno portato all’irrogazione di sanzioni amministrative significative per gravi violazioni del Regolamento generale sulla protezione dei dati (GDPR), coinvolgendo istituzioni pubbliche e strutture sanitarie.

La prima multa, pari a 17.880 euro, è stata inflitta all’ex Comandante in Capo della Polizia polacca per aver divulgato pubblicamente, durante una conferenza stampa, dati personali e sensibili di una donna che aveva contattato il numero di emergenza 112 per difficoltà psicologiche. Le informazioni, comprese quelle sulla salute mentale, sulla vita privata e sulla residenza della donna, sono state rese note senza alcuna base giuridica, esponendola a potenziali danni alla reputazione e violazioni della privacy.

Nel secondo caso, il Centro Medico Ujastek di Cracovia è stato sanzionato con una multa di 262.500 euro per l’installazione di telecamere di sorveglianza nascoste nel reparto di neonatologia, che hanno ripreso mamme e neonati in momenti di intimità, come l’allattamento, senza informare pazienti o personale. Inoltre, la struttura ha segnalato il furto o la perdita delle schede di memoria contenenti tali registrazioni, che non erano nemmeno criptate. L’indagine ha evidenziato la mancanza di adeguate misure di sicurezza e una valutazione del rischio insufficiente.

Infine, la terza sanzione riguarda l’organizzazione delle elezioni presidenziali per corrispondenza nel 2020: il Ministero per gli Affari Digitali ha ricevuto una multa di 23.757 euro, mentre Posta Polacca è stata sanzionata per 6.444.174 euro. Le autorità hanno accertato che, in assenza di una base legale, furono trasmessi e trattati i dati personali di circa 30 milioni di cittadini polacchi, inclusi nomi, indirizzi e numeri PESEL, in preparazione a un’elezione che alla fine non si svolse. Il trasferimento di massa di tali informazioni è stato giudicato una violazione grave dei principi fondamentali di liceità e correttezza del trattamento dei dati.

Questi tre casi evidenziano l’importanza della conformità al GDPR anche nei contesti istituzionali e sanitari, sottolineando come la protezione dei dati personali debba essere sempre una priorità, specialmente quando coinvolge soggetti vulnerabili o dati particolarmente sensibili.