Rispetto dei tempi di cancellazione: multata società di taxi: secondo quanto si è appreso dalla stampa danese, proprio in Danimarca, l’autorità per la privacy ha rilevato che la società Taxa 4×35 non ha rispettato il principio di “minimizzazione” previsto dal GDPR conservando i dati personali dei clienti oltre il limite previsto dalla normativa.
E’ necessario rispettare i limiti fissati nel modello organizzativo privacy
La società incriminata pur cancellando i nomi e gli indirizzi dei clienti dopo due anni di conservazione secondo il principio fissato per la “data retention”, manteneva i numeri degli stessi per altri tre anni.
La Taxa, a sua discolpa, sosteneva che i numeri di telefono erano parte essenziale del proprio database informatico, e che pertanto, non era possibile eliminarli nello stesso arco temporale, tentando anche di dimostrare che avesse adottato un processo di “anonimizzazione” dei dati per rendere impossibile l’identificazione degli interessati e di conseguenza l’accesso alle loro informazioni personali.
Prima di tutto i diritti degli interessati
Nonostante ciò, l’autorità garante non ha concordato sul fatto che tale difficoltà nel sistema informatico di un’impresa potesse giustificare un violazione così grave della riservatezza dei dati, rigettando le motivazioni/giustificazioni addotte.
Sanzioni importanti dopo l’entrata in vigore del Regolamento Europeo
Se prima dell’introduzione del GDPR, in Danimarca la sanzione per un caso del genere sarebbe potuta arrivare a poche migliaia di euro, il garante danese ha invece raccomandato un multa di 1,2 milioni di corone, pari a circa 160mila euro, importo che equivale a circa il 2,8% del fatturato annuale della societa’ Taxa 4×35, dando essenzialmente dimostrazione di come adesso le autorita’ di vigilanza dell’UE siano orientate ad avvicinarsi al limite massimo del 4% previsto dalla normativa.
L’entità della multa per la violazione di Taxa deriva dalla grande mole di dati personali dei clienti, circa 9 milioni, che la stessa continuava a trattare senza averne l’effettiva necessità.
Con Taxa, il provvedimento dell’Autorità danese, stabilisce anche un precedente sulla debolezza dell’eventuale tentativo di giustificare eccessivi periodi di conservazione dei dati a causa di limitazioni organizzative delle infrastrutture “Information and Communication Technologies”.
FONTE: (Lexology – documento Federprivacy)