Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'analisi

Un “cimitero di dati” illegale, multa milionaria alla società Deutsche Wohnen: quale lezione per le aziende italiane

Per violazione degli articoli 5 e 25 del GDPR, l’Autorità tedesca per la protezione dei dati ha multato per 14,5 milioni di euro la società immobiliare Deutsche Wohnen che per anni ha archiviato illecitamente dati sensibili. Una sanzione, quindi, per irregolarità nell’archiviazione di dati e non per un data breach. Ecco tutti i dettagli

06 Nov 2019
V
Nicola Vanin

Data Governance & Information Security Senior Manager


Il commissario per la protezione dei dati di Berlino ha comminato una sanzione milionaria nei confronti del gruppo immobiliare Deutsche Wohnen. Secondo le informazioni disponibili l’importo di 14,5 milioni di euro è la multa più alta di sempre in Germania sulla base del regolamento generale sulla protezione dei dati GDPR.

Le accuse si riferiscono alla soluzione di archiviazione della società Deutsche Wohnen, e non da una violazione dei dati.

Il caso Deutsche Wohnen

Non quindi un data breach all’origine della vicenda, ma irregolarità nell’archiviazione dei dati.  Nel fissare l’importo dell’ammenda, il gruppo immobiliare è stata ritenuto responsabile di aver deliberatamente creato un archivio ed elaborato in modo inappropriato i dati di inquilini e proprietari di case per un lungo periodo sproporzionato

Dopo le indagini dell’autorità di protezione dei dati di Berlino è stato constatato che Deutsche Wohnen ha  archiviato per anni illegalmente i dati sensibili dei suoi inquilini. Questi dati sono composti da documenti che i potenziali inquilini devono presentare prima di stipulare un contratto di affitto per dimostrare la loro affidabilità creditizia, come prove del proprio reddito.

Le contestazioni

Queste informazioni devono essere distrutti al termine del contratto di locazione. Apparentemente la società immobiliare non l’ha mai fatto. La conservazione dei dati personali non è consentita a tempo indeterminato secondo i principi per il trattamento dei dati personali stabiliti nell’articolo 5 del Regolamento generale sulla protezione dei dati (GDPR): la conservazione e il trattamento dei dati devono servire allo scopo dal quale tali dati sono stati raccolti.

Inoltre, secondo i Commissari per la protezione dei dati tedeschi, il comportamento di Deutsche Wohnen viola anche l’articolo 25 del GDPR, che stabilisce l’obbligo di proteggere i dati attraverso la progettazione di un sistema informativo sicuro e introduce il concetto di privacy by design.

I “cimiteri dei dati”

Commentando la multa di martedì, l’Autorità tedesca per la protezione dei dati ha dichiarato: “I cimiteri di dati, come quelli che abbiamo trovato alla Deutsche Wohnen, sfortunatamente si riscontrano spesso nella nostra pratica di vigilanza”.

Considerazioni, queste, che valgono anche per le imprese del nostro Paese.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5