NEWS

Danimarca:società di taxi viola il principio di minimizzazione, multa da 160mila euro

L'Autorità per la privacy danese ha rilevato che la società Taxa 4x35 non rispettava il principio di "minimizzazione" previsto dal Gdpr conservando i dati personali dei clienti oltre il limite di conservazione previsto. La Taxa cancellava i nomi e gli indirizzi dei clienti dopo 2 anni di conservazione secondo il periodo fissato per la "data retention", ma manteneva i numeri di telefono dei clienti per altri 3 anni.

Anche se la Taxa aveva sostenuto che i numeri di telefono erano parte essenziale del proprio database informatico, e che pertanto non era possibile eliminarli nello stesso arco di tempo, il garante danese non ha però concordato sul fatto che tale difficoltà nel sistema informatico di un'impresa potesse giustificare una violazione così grave della riservatezza dei dati.

Inoltre, anche i tentativi di Taxa di dimostrare che avesse adottato un processo di anonimizzazione dei dati sono risultati insufficienti, in quanto tale tecnica avrebbe dovuto rendere impossibile la successiva identificazione degli interessati e l'accesso alle loro informazioni personali.

Nonostante la cancellazione dei nomi dei clienti da parte di Taxa dopo due anni, le informazioni sul proprio sistema avrebbero potuto infatti essere collegate alle persone attraverso i loro numeri di telefono.

Se prima dell'introduzione del Gdpr, in Danimarca la sanzione per un caso del genere avrebbe potuto arrivare a poche migliaia di euro, il garante danese ha invece raccomandato una multa di 1,2 milioni di corone, pari a circa 160mila euro, importo che equivale a circa il 2,8% del fatturato annuale della società Taxa 4x35, dando essenzialmente dimostrazione di come adesso le autorità di vigilanza dell'UE siano orientate ad avvicinarsi al limite massimo del 4% previsto dal Gdpr.

L'entità della multa per la violazione di Taxa rispecchia la grande mole di dati personali dei clienti, quali erano i numeri di telefono personali collegati a 9 milioni di taxi, che la società continuava a trattare senza averne effettivamente necessità.

Il provvedimento dell'Autorità danese stabilisce anche un precedente sulla debolezza dell'eventuale tentativo di giustificare eccessivi periodi di conservazione dei dati a causa di limitazioni organizzative delle infrastrutture IT dell'azienda.

Fonte: Lexology

Note sull'autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: urp@federprivacy.it 

Prev Usa: data breach, dati personali di 1,3 milioni di studenti esposti ad accessi inautorizzati
Next Usa: violazione privacy di minori, multa da 5,7 milioni di dollari per l'app TikTok

Basta un consenso e Google Maps vi pedina ovunque andate

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
captcha 
Privacy e Termini di Utilizzo