Gdpr e violazione della data retention: arriva la sanzione di 160 mila euro da parte dell’autorità danese

di Fabiola D'Alessio -

L’Autorità per la protezione dei dati personali danese ha irrogato una sanzione di 1,2 milioni di corone, pari a circa 160mila euro, nei confronti di una compagnia di taxi, sempre danese, che aveva registrato e conservato, senza alcuna base legittima, dati personali dei propri clienti per un periodo di circa cinque anni, in violazione del periodo massimo di conservazione dei dati
In particolare, l’Autorità competente ha ritenuto che la suddetta società di taxi non rispettasse il principio di “minimizzazione” di cui all’articolo 5 del GDPR, in quanto conservava dati personali dei clienti oltre il limite di conservazione stabilito. Infatti, la società di taxi in questione provvedeva alla cancellazione dei nomi e degli indirizzi dei clienti una volta trascorsi due anni, secondo quanto previsto dalla data retention policy, mantenendo però nei loro database i numeri di telefono dei loro clienti per ulteriori tre anni.
Tale società di taxi ha provato a difendersi sostenendo che i numeri di telefono costituivano parte essenziale del proprio database informatico, in quanto costituirebbero la chiave per il database del sistema, e che pertanto non era possibile eliminarli nello stesso arco di tempo. Il Garante danese non ha però concordato con la versione offerta dalla suddetta società, in quanto ha ritenuto che tale difficoltà nel sistema informatico non possa giustificare una violazione così grave della riservatezza dei dati, rigettando quindi il tentativo di giustificare eccessivi periodi di conservazione dei dati con le limitazioni organizzative delle infrastrutture IT dell’azienda.
Cosa ancor più rilevante è che la società danese non aveva neppure adottato un processo di anonimizzazione dei dati sufficiente a rendere impossibile la successiva identificazione degli interessati e l’accesso alle loro informazioni personali, dato che nonostante la cancellazione dei nomi dei clienti le informazioni sul proprio sistema avrebbero potuto essere comunque collegate alle persone attraverso i loro numeri di telefono.
Sicuramente la sanzione irrogata risulta essere di particolare rilevanza e costituisce certamente un precedente importante, in quanto trattasi di un importo che equivale a circa il 2,8% del fatturato annuale della società in questione, dando dimostrazione di come adesso le autorità di vigilanza dell’UE siano sempre più orientate ad avvicinarsi al limite massimo del 4% previsto dal GDPR.
In realtà, l’entità della multa non fa altro che rispecchiare la grande mole di dati personali dei clienti (numeri di telefono personali collegati a 9 milioni di taxi) che la società continuava a trattare senza averne alcuna effettiva necessità.