Sanzionata per 900mila euro una società di recupero crediti che conservava illecitamente i dati per oltre cinque anni
Sebbene i periodi di cancellazione fossero scaduti, una società tedesca di servizi del settore della gestione dei rischi e recupero crediti aveva continuato a tenere fino a cinque anni le registrazioni con dati personali senza una valida base giuridica.
Il garante della protezione dei dati di Amburgo per la protezione dei dati e la libertà di informazione (Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit) ha punito questo illecito normativo con una multa di 900.000 euro.
La violazione è stata notata perché l’autorità amburghese aveva esaminato le società di mercato dalla gestione del recupero crediti nell'ambito di un focus test, considerando che i dati elaborati sui debitori inadempienti sono solitamente particolarmente sensibili e sono regolarmente condivisi con altre posizioni, come le agenzie di recupero crediti e i servizi di valutazione del rischio.
Indipendentemente dai singoli casi di reclamo, l’autorità aveva verificato in che modo i dati dei debitori venivano archiviati e trattati dai rispettivi fornitori di servizi. A tal fine, le aziende erano state inviate a compilare questionari dettagliati, le cui risposte hanno fornito informazioni complete sull'archiviazione dei dati. Inoltre, le società erano state invitate a presentare documenti come il registro delle attività di trattamento, l'elenco delle misure di sicurezza e i modelli utilizzati. Inoltre, a seguito dell'ispezione preliminare condotta inizialmente per iscritto, il garante di Amburgo aveva poi visitato alcune società nei rispettivi locali commerciali.
Nella maggioranza dei casi, l’autorità ha riscontrato un alto grado di professionalità e sensibilità, e nel dialogo sono stati conseguiti miglioramenti sulla trasparenza nei confronti delle persone interessate, in particolare, sulla la formulazione di un’informazione idonea sui dati ai sensi dell’art. 15 GDPR e sui processi per fornire informazioni tempestive erano stati messi in primo piano.
Nel caso di un'azienda, durante l'ispezione in loco il team dell’autorità ha tuttavia rilevato che le banche dati avevano continuato a essere conservate nonostante i periodi di cancellazione scaduti. Entro la metà del 2023 novembre, la società aveva memorizzato un numero di dati a sei cifre senza una valida base giuridica violando quindi l'articolo 5 (1) (a), 6 (1) del GDPR. Anche se i dati originariamente trattati non erano stati trasmessi a terzi durante questo periodo, alcuni di essi non erano stati cancellati dal database della società cinque anni dopo la scadenza del periodo di conservazione legale.
Nel comunicato diffuso dall’autorità, Thomas Fuchs, Commissario di Amburgo per la protezione dei dati e la libertà di informazione, ha dichiarato: “Quando termina il rapporto con il cliente, i dati raccolti devono essere cancellati immediatamente o dopo i termini specificati. Pertanto, le società dovrebbero fare il punto su quali dati possono essere raccolti prima di raccogliere dati e per quanto tempo possono essere detenuti. Non è accettabile per le aziende che lavorano nei settori digitali basati sui dati non hanno sviluppato un concetto di cancellazione coerente.
L’autorità ha pertanto sanzionato l'illecito con una multa di 900.000 euro. L’ordinanza è giuridicamente vincolante, e la società ha ammesso la violazione accettando la sanzione, collaborando professionalmente con l'autorità di vigilanza, attenuante che è stato presa in considerazione nella quantificazione della sanzione.
Fonte: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
