GDPR SCATTANO MEGA SANZIONI
Violazione del principio di minimizzazione dei dati, multa da 160mila euro per una società di taxi danese.
L’Autorità per la privacy danese ha rilevato che la società Taxa 4×35 non rispettava il principio di “minimizzazione” previsto dal Gdpr conservando i dati personali dei clienti oltre il limite di conservazione previsto.
La Taxa cancellava i nomi e gli indirizzi dei clienti dopo 2 anni di conservazione secondo il periodo fissato per la “data retention”, ma manteneva i numeri di telefono dei clienti per altri 3 anni.
Anche se la Taxa aveva sostenuto che i numeri di telefono erano parte essenziale del proprio database informatico, e che pertanto non era possibile eliminarli nello stesso arco di tempo, il garante danese non ha però concordato sul fatto che tale difficoltà nel sistema informatico di un’impresa potesse giustificare una violazione così grave della riservatezza dei dati.
Inoltre, anche i tentativi di Taxa di dimostrare che avesse adottato un processo di anonimizzazione dei dati sono risultati insufficienti, in quanto tale tecnica avrebbe dovuto rendere impossibile la successiva identificazione degli interessati e l’accesso alle loro informazioni personali.
Nonostante la cancellazione dei nomi dei clienti da parte di Taxa dopo due anni, le informazioni sul proprio sistema avrebbero potuto infatti essere collegate alle persone attraverso i loro numeri di telefono.
L’entità della multa per la violazione di Taxa rispecchia la grande mole di dati personali dei clienti, quali erano i numeri di telefono personali collegati a 9 milioni di taxi, che la società continuava a trattare senza averne effettivamente necessità.
Il provvedimento dell’Autorità danese stabilisce anche un precedente sulla debolezza dell’eventuale tentativo di giustificare eccessivi periodi di conservazione dei dati a causa di limitazioni organizzative delle infrastrutture IT dell’azienda.
Se prima dell’introduzione del Gdpr, in Danimarca la sanzione per un caso del genere avrebbe potuto arrivare a poche migliaia di euro, il garante danese ha invece raccomandato una multa di 1,2 milioni di corone, pari a circa 160mila euro, importo che equivale a circa il 2,8% del fatturato annuale della società Taxa 4×35, dando essenzialmente dimostrazione di come adesso le autorità di vigilanza dell’UE siano orientate ad avvicinarsi al limite massimo del 4% previsto dal Gdpr.
Fonte: FederPrivacy