800 561720
Nel contesto di una campagna di indagine settoriale condotta dall’Autorità per la protezione dei dati personali di Amburgo (“HmbBfDI”), una società di recupero crediti è stata sanzionata per un importo pari a 900.000 euro. Nonostante i termini legali di conservazione dei dati fossero scaduti, infatti, la società ha continuato a conservare informazioni personali per ulteriori 5 anni. Garantire il rispetto del principio generale di limitazione della conservazione è essenziale per evitare onerose sanzioni, come ci insegnano numerosi casi recenti: quali controlli dovrebbero svolgere i DPO?
L’indagine settoriale della DPA di Amburgo
Con il comunicato del 12 novembre 2024, la Data Protection Authority di Amburgo (a seguire, per semplicità, l’Autorità o “DPA”) ha dato notizia della sanzione comminata ad una società operante nel settore del recupero crediti.
Come dichiarato dall’Autorità, Amburgo è caratterizzata da una forte presenza sul mercato di società operanti nel settore del recupero crediti (tanto da rendere la città una delle principali sedi in Europa del settore). Per questa ragione e considerando anche fattori quali: l’importante mole di dati circolanti, la natura dei dati trattati – particolarmente sensibili – relativi a debitori insolventi, nonché la regolare condivisione di tali informazioni con terze parti quali agenzie e servizi di indagine, la DPA ha deciso di intraprendere una campagna di indagine settoriale.
Scopo dell’indagine e modalità di svolgimento
L’indagine settoriale svolta ha riguardato alcune delle principali aziende operanti nel recupero crediti. La DPA ha esaminato, in particolare, le modalità con cui i titolari del trattamento operavano l’archiviazione dei dati dei debitori e le misure di sicurezza implementate, al fine di verificare e garantire la tutela dei soggetti interessati.
A questo scopo, l’Autorità ha, dapprima, tramesso alle aziende coinvolte nell’indagine una serie di questionari dettagliati e richiesto alcuni documenti utili a verificare la conformità al Regolamento europeo in materia di protezione dei dati personali (GDPR). In particolare, le aziende sono state invitate a fornire: il registro delle attività di trattamento, l’elenco delle misure di sicurezza adottate ed i modelli di lettere / nomine utilizzati.
In seguito ai controlli documentali, la DPA ha effettuato ispezioni in loco presso le sedi delle società coinvolte nell’indagine.
L’esito dei controlli
Le risposte ricevute hanno permesso alla DPA di ottenere una visione completa rispetto agli obblighi e ai termini di conservazione applicabili per l’archiviazione dei dati.
L’Autorità ha rilevato un alto grado di professionalità, sensibilità e collaborazione. I colloqui fra le parti, infatti, hanno permesso di ottimizzare alcuni processi correlati all’archiviazione dei dati, alla trasparenza delle informazioni rese agli interessati, alle modalità e ai tempi adeguati per formulare un riscontro alle eventuali richieste di accesso ai dati personali (ai sensi dell’articolo 15 del GDPR).
L’indagine, quindi, ha avuto complessivamente un esito positivo. Solo due aziende presentavano alcune criticità che la DPA ha ritenuto opportuno approfondire.
Le non conformità rilevate e la sanzione
Durante le ispezioni sul posto, la DPA ha rilevato che una di queste società conservava i dati oltre i termini di conservazione previsti per legge, in assenza di una valida base giuridica a legittimare il trattamento. In particolare, nei database della società, l’Autorità di Amburgo ha rinvenuto informazioni personali che dovevano essere cancellate da tempo, in quanto il termine di conservazione previsto per legge era scaduto da cinque anni.
Pur rilevando che le informazioni conservate oltre il termine non erano state cedute a terze parti durante il periodo considerato, l’azienda è comunque stata pesantemente sanzionata per aver effettuato trattamenti illeciti, in quanto carenti di una valida base giuridica (l’obbligo di legge che legittimava la conservazione).
La violazione degli articoli 5, paragrafo 1, lettera a), e dell’articolo 6, paragrafo 1, del GDPR, ha portato ad una ammenda pecuniaria pari a 900.000 euro. La DPA ha dichiarato che l’importo “relativamente basso” è stato definito considerando la collaborazione professionale della società, l’ammissione della condotta illecita e la non contestazione della sanzione.
Le indicazioni della DPA di Amburgo
Thomas Fuchs, presidente dell’Autorità per la protezione dei dati personali di Amburgo, ha dichiarato che: “Quando il rapporto con il cliente termina, i dati raccolti devono essere cancellati immediatamente o dopo un periodo specificato. Per questo motivo, le aziende dovrebbero fare il punto su quali dati raccolgono e per quanto tempo sono autorizzate a conservarli prima di raccogliere qualsiasi dato. È inaccettabile che le aziende che operano in settori digitali orientati ai dati non abbiano sviluppato una politica di cancellazione coerente.
Retention dei dati: altre casistiche rilevanti
Il caso esaminato si inserisce in un mare magnum di provvedimenti delle Autorità di controllo europee, spesso a carattere sanzionatorio, sul tema della conservazione dei dati personali.
Solo in Italia, dall’inizio dell’anno, infatti, il Garante per la protezione dei dati personali ha comminato sanzioni per un importo di oltre 350 mila euro, in cui veniva citata la violazione dell’articolo 5, paragrafo 1, lettera e), del GDPR (ovvero per violazione del principio di limitazione della conservazione dei dati) e sanzioni per oltre 13 milioni di euro per la violazione dell’articolo 5, paragrafo 1, lettera a), del GDPR (principio di liceità del trattamento).
Nei casi di violazione delle disposizioni del GDPR correlate alla conservazione dei dati personali, il Garante ha anche fornito specifiche indicazioni in merito ai termini da rispettare. Clicca qui per visionare alcuni dei principali provvedimenti sul tema.
Il piano dei controlli del DPO: quali verifiche sulla retention dei dati?
Sulla base delle recenti indicazioni fornite dalla Data Protection Authority di Amburgo e di quanto disposto dal nostro Garante, è possibile ricavare alcuni elementi di compliance fondamentali, da attenzionare anche nel contesto delle attività di vigilanza effettuate dai DPO, ove nominati.
In particolare, i controlli pianificati dai DPO dovrebbero ricomprendere verifiche mirate anche ad accertare il rispetto del principio di limitazione della conservazione. Tale principio si esplica in una serie di punti che devono necessariamente essere considerati:
- Verificare che l’organizzazione abbia definito, a monte, tutti i termini di conservazione dei dati personali trattati per le diverse finalità di trattamento perseguite;
- Verificare se, nella definizione delle politiche di conservazione dei dati, siano stati presi in esame tutti i principali riferimenti normativi applicabili e tutte le principali pronunce delle Autorità competenti;
- Verificare che tale valutazione sia stata formalizzata, in accountability, in una data retention policy;
- Verificare che la data retention policy sia stata distribuita al personale e che il personale ne abbia effettivamente preso visione;
- Verificare che il personale sia stato istruito / formato in merito alle corrette modalità di applicazione della policy;
- Verificare in loco / accedendo agli archivi / database del titolare, che i termini di conservazione vengano concretamente rispettati;
- Verificare che, al termine del periodo di conservazione dei dati definito per ciascuna finalità, il titolare adotti le migliori tecniche di cancellazione sicura dei dati (es. sovrascrittura, punzonatura di HDD non più utilizzati o da dismettere, tritura documenti cartacei, etc.).
Se desideri restare informato sul tema e sulle principali pronunce delle Autorità di controllo, ti invitiamo, se non l’hai ancora fatto, ad iscriverti alla newsletter dell’Associazione.
Fonte dei dati statistici citati: GDPRhub https://gdprhub.eu/index.php?title=Welcome_to_GDPRhub
