Articoli

Data retention: quanto mi costi?

Avv. Vincenzo Colarocco

Il 30 ottobre 2019, il commissario di Berlino per la protezione dei dati e la libertà di informazione ha erogato una sanzione di circa 14,5 milione di euro per violazione del principio di data retention.

In particolare, l’autorità ha individuato un utilizzo ultroneo e non giustificato di dati personali da parte della società immobiliare, la quale impediva la cancellazione degli stessi dai propri archivi agli inquilini, nonostante non fossero più strumentali per il perseguimento delle originarie finalità di raccolta. Tra i dati coinvolti, informazioni sulle vicende personali e finanziarie degli inquilini, come buste paga, moduli di auto-divulgazione, estratti da contratti di lavoro e di formazione, dati fiscali, dati di previdenza sociale e di assicurazione sanitaria ed estratti conto bancari. In realtà la non conformità dei sistemi di archiviazione della Deutsche Wohnen SE era già stata segnalata dall’autorità a seguito di un audit nel giugno 2017 ed anche in occasione del successivo audit del marzo 2019 era stata rilevata l’inefficienza delle procedure di conservazione e cancellazione dei dati.

La violazione contestata è quella dell’articolo 25 del GDPR, nonché dei principi generali di trattamento stabiliti nell’articolo 5 dello stesso. L’articolo 25, paragrafo 1, infatti, prevede che, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, il titolare del trattamento metta in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati (“privacy by design e by default”). All’art. 5, lett. e), invece, il Regolamento prescrive che i dati vengano conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere, infatti, conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatta salva l’attuazione di misure tecniche e organizzative adeguate.

Tra i fattori aggravanti, la creazione ad opera della stessa Deutsche Wohnen SE della struttura dell’archivio in questione ed il lungo periodo di conservazione non autorizzata, mentre tra quelli attenuanti l’adozione di azioni di rimedio e la collaborazione con l’autorità. Sono state, inoltre, comminate diverse multe minori tra i 6.000 e i 17.000 euro per casi specifici di archiviazione non autorizzata.

La sanzione amministrativa non è ancora definitiva dal momento che la Deutsche Wohnen SE ha annunciato che contesterà l’ammenda in tribunale.

Minimizzazione dei dati: il Garante danese sanziona una compagnia di taxi

Avv. Vincenzo Colarocco

Con un recente provvedimento pubblicato a seguito di un’attività ispettiva effettuata lo scorso ottobre, l’Autorità Danese, rilevando la sussistenza di una violazione del principio di minimizzazione dei dati, ha sanzionato con una multa da € 160.000,00 la società di taxi “Taxa 4×35”.

In dettaglio, nell’ambito del trattamento dati correlato agli ordini effettuati dai clienti, la società si era imposta una data retention pari a 2 anni, rilevando come un trattamento ulteriore non risultasse giustificato da alcuna necessità aziendale. L’Autorità, nell’ambito della suddetta attività ispettiva, verificava però come, per quanto la suindicata conservazione fosse concretamente realizzata ed adeguata rispetto alle finalità perseguite, non comprendesse tutti i dati identificativi del cliente. Infatti l’anonimizzazione era limitata al nome e al cognome, mentre non veniva intaccato il numero di telefono del cliente, dato per il quale la società aveva invece imposto una conservazione di 5 anni.

Alla luce di quanto sopra, la competente Autorità non ha potuto che constatare una violazione del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c) del Regolamento UE 679/2016 (“GDPR”). In particolare non risultava correttamente utilizzata la misura tecnica dell’anonimizzazione dal momento che, prevedendo una retention più ampia per il numero di cellulare del cliente, a quest’ultimo ben potevano essere ricondotti una serie di dati afferenti alla corsa in taxi effettuata (es: data della corsa, ora di inizio e di fine della stessa, il numero di chilometri percorsi, il pagamento, la posizione iniziale e finale specificati come coordinate GPS) oltre il termine di due anni previsto per la conservazione del proprio nome e cognome.

È infatti evidente come, finché una corsa in taxi può essere collegata al cliente che ha prenotato il viaggio, le relative informazioni sono da considerarsi informazioni personali sul cliente.