Violazione degli obblighi di cancellazione dei dati personali
Le violazioni della protezione dei dati o del Regolamento generale sulla protezione dei dati (GDPR) possono essere sanzionate con multe elevate. L’Incaricato per la protezione dei dati e la libertà d’informazione di Amburgo (HmbBfDI) ha imposto una multa di 900.000 euro a un’azienda nel settore del recupero crediti, poiché non ha cancellato tempestivamente i dati personali.
Con l’introduzione del Regolamento generale sulla protezione dei dati (GDPR), i requisiti per la protezione dei dati per le aziende sono aumentati significativamente. Le aziende devono adottare misure adeguate per proteggere i dati durante il trattamento dei dati personali. Inoltre, le persone interessate hanno diritto alla cancellazione dei loro dati entro i termini previsti. In caso di violazioni delle leggi sulla protezione dei dati o del GDPR, le aziende rischiano multe significative, secondo lo studio legale MTR Legal Rechtsanwälte, che consiglia tra l’altro nel diritto informatico.
Verifica delle aziende nel settore del recupero crediti
La conservazione dei loro dati personali può rappresentare un enorme peso, in particolare per i debitori inadempienti. Infatti, i loro dati vengono regolarmente trasmessi anche alle agenzie di credito. Questo può ostacolare in modo significativo, ad esempio, la stipula di un contratto. È quindi di grande importanza per i debitori che i loro dati vengano cancellati dopo la scadenza dei relativi termini.
Amburgo è un’importante sede nel settore del recupero crediti. L’Incaricato per la protezione dei dati e la libertà d’informazione di Amburgo (HmbBfDI) ha quindi deciso di esaminare da vicino alcune aziende influenti nel settore del recupero crediti, nell’ambito di una verifica tematica.
Conclusione prevalentemente positiva
È stata verificata principalmente la modalità di conservazione e ulteriore trattamento dei dati personali da parte delle aziende. A tal fine, l’incaricato per la protezione dei dati insieme al suo team ha visitato alcune aziende presso le loro sedi. I responsabili della protezione dei dati hanno potuto trarre una conclusione prevalentemente positiva. In particolare, la trasparenza delle aziende nei confronti delle persone interessate è migliorata, ha dichiarato l’incaricato per la protezione dei dati in un comunicato stampa del 12 novembre 2024.
Dati conservati troppo a lungo
Tuttavia, ci sono anche eccezioni. I verificatori hanno stabilito che un’azienda conservava ancora i set di dati sebbene i termini di cancellazione fossero scaduti da tempo. L’azienda aveva memorizzato set di dati con dati personali in una quantità a sei cifre senza un fondamento legale. Ciò costituisce una violazione dell’articolo 5 paragrafo 1 lettera a, 6 paragrafo 1 GDPR. Sebbene i dati non siano stati trasmessi a terzi, erano stati conservati per 5 anni dopo la scadenza dei termini di conservazione legale e non erano stati cancellati dal database, ha continuato a riferire l’Incaricato per la protezione dei dati di Amburgo.
Per questa violazione, l’incaricato per la protezione dei dati ha imposto una multa di 900.000 euro all’azienda. L’azienda ha accettato la multa. Il fatto che abbia collaborato con l’autorità di controllo nell’affrontare la violazione della protezione dei dati è stato preso in considerazione nell’importo della multa. Violazioni simili sono state riscontrate anche in un’altra azienda. Tuttavia, le indagini non sono ancora concluse.
Quando un rapporto con il cliente termina, i dati memorizzati devono essere cancellati immediatamente o dopo il termine di conservazione previsto. Una violazione di questi obblighi di cancellazione può essere costosa, come dimostra l’esempio dell’azienda amburghese. Per evitare tali violazioni, le aziende dovrebbero integrare una compliance sulla protezione dei dati efficiente.
Cancellazione dei dati entro i termini
Al fine di gestire in modo conforme alla legge i dati personali sensibili, dovrebbe essere sviluppato anche un concetto sistematico di cancellazione, per evitare che vengano conservati illegalmente e che si verifichi così una violazione del GDPR. Già al momento della raccolta dei dati dovrebbe essere chiaro se e per quanto tempo possono essere memorizzati e ulteriormente elaborati. Ciò può evitare le multe per violazioni della protezione dei dati e rafforzare la fiducia dei clienti.
Si deve considerare che la protezione dei dati svolge un ruolo importante non solo nei rapporti esterni con i clienti, ma anche internamente nei rapporti con i dipendenti. Anche i dipendenti hanno, ai sensi del GDPR, il diritto di ottenere informazioni dal loro datore di lavoro sull’utilizzo dei loro dati personali.
MTR Legal Rechtsanwälte consigliano nel diritto alla protezione dei dati e in altre questioni del diritto informatico.
Non esitate a contattarci !
