Privacy - violazione principio "minimizzazione dei dati", multa da 160.000 euro

“Il Garante per la protezione dei dati personali danese ha riscontrato che una società di taxi non rispettava il c.d. principio di "minimizzazione" previsto dal GDPR, previsto tra i principi applicabili al trattamento di dati personali, conservando i dati personali dei clienti oltre il limite di conservazione previsto. Infatti, la società provvedeva all’eliminazione dei nomi e degli indirizzi dei clienti dopo 2 anni di conservazione secondo il periodo fissato per la "data retention", ma manteneva i numeri di telefono dei clienti per altri 3 anni.

La società aveva sostenuto che i numeri di telefono erano parte essenziale del proprio database informatico, e che pertanto non era possibile eliminarli nello stesso arco di tempo degli altri dati quali nomi e indirizzi dei clienti. Ciò nonostante, il Garante non ha però concordato sul fatto che tale difficoltà nel sistema informatico di un'impresa potesse giustificare una violazione così grave della riservatezza dei dati.

La società aveva anche cercato di dimostrare di aver provveduto all’adozione di processi inerenti alla c.d. “anonimizzazione” dei dati, ossia tecniche che avrebbero dovuto rendere impossibile la successiva identificazione degli interessati e l’accesso alle loro informazioni personali, ma tali tentativi sono risultati inadeguati: nonostante la cancellazione dei nomi dei clienti da parte della Società dopo due anni, le informazioni sul proprio sistema avrebbero potuto infatti essere collegate alle persone attraverso i loro numeri di telefono.

Se prima dell'introduzione del GDPR, in Danimarca la sanzione per un caso del genere avrebbe potuto arrivare a poche migliaia di euro, il Garante danese ha invece raccomandato una multa di 1,2 milioni di corone, pari a circa 160mila euro, importo che equivale a circa il 2,8% del fatturato annuale della Società, dando evidente dimostrazione di come adesso i Garanti facenti parte dell’Unione Europea siano orientati ad avvicinarsi al limite massimo del 4% previsto dalla normativa vigente.

L'entità della multa per la violazione in oggetto rispecchia la grande mole di dati personali dei clienti, quali erano i numeri di telefono personali collegati a 9 milioni di taxi, che la società continuava a trattare senza averne una reale e comprovata necessità.

Il provvedimento del Garante danese stabilisce anche un precedente sulla debolezza dell'eventuale tentativo di giustificare eccessivi periodi di conservazione dei dati a causa di limitazioni organizzative delle infrastrutture IT dell'azienda: ciò a dimostrare che una valutazione delle misure tecniche e organizzative implementate e un conseguente miglioramento ove necessario e possibile, è oramai da considerarsi parte integrante dell’adeguamento al GDPR, divenuto direttamente applicabile negli Stati membri dal 25 maggio 2018.

Fonti: Federprivacy, Lexology”