Data retention: quanto mi costi?

Avv. Vincenzo Colarocco

Il 30 ottobre 2019, il commissario di Berlino per la protezione dei dati e la libertà di informazione ha erogato una sanzione di circa 14,5 milione di euro per violazione del principio di data retention.

In particolare, l’autorità ha individuato un utilizzo ultroneo e non giustificato di dati personali da parte della società immobiliare, la quale impediva la cancellazione degli stessi dai propri archivi agli inquilini, nonostante non fossero più strumentali per il perseguimento delle originarie finalità di raccolta. Tra i dati coinvolti, informazioni sulle vicende personali e finanziarie degli inquilini, come buste paga, moduli di auto-divulgazione, estratti da contratti di lavoro e di formazione, dati fiscali, dati di previdenza sociale e di assicurazione sanitaria ed estratti conto bancari. In realtà la non conformità dei sistemi di archiviazione della Deutsche Wohnen SE era già stata segnalata dall’autorità a seguito di un audit nel giugno 2017 ed anche in occasione del successivo audit del marzo 2019 era stata rilevata l’inefficienza delle procedure di conservazione e cancellazione dei dati.

La violazione contestata è quella dell’articolo 25 del GDPR, nonché dei principi generali di trattamento stabiliti nell’articolo 5 dello stesso. L’articolo 25, paragrafo 1, infatti, prevede che, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, il titolare del trattamento metta in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati (“privacy by design e by default”). All’art. 5, lett. e), invece, il Regolamento prescrive che i dati vengano conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere, infatti, conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatta salva l’attuazione di misure tecniche e organizzative adeguate.

Tra i fattori aggravanti, la creazione ad opera della stessa Deutsche Wohnen SE della struttura dell’archivio in questione ed il lungo periodo di conservazione non autorizzata, mentre tra quelli attenuanti l’adozione di azioni di rimedio e la collaborazione con l’autorità. Sono state, inoltre, comminate diverse multe minori tra i 6.000 e i 17.000 euro per casi specifici di archiviazione non autorizzata.

La sanzione amministrativa non è ancora definitiva dal momento che la Deutsche Wohnen SE ha annunciato che contesterà l’ammenda in tribunale.