Hace unos días la autoridad de Protección de datos de Dinamarca impuso la primera multa por incumplir el RGPD a la empresa de taxis Taxa. El motivo fue la excesiva retención de determinados datos de sus clientes.

Incumplimiento del principio de minimización de datos

La autoridad danesa de Protección de datos consideró que Taxa no cumplió el principio de minimización de datos establecido en el RGPD. Esta empresa conservaba los datos personales durante un plazo mucho mayor del permitido y no los eliminaba como exige la normativa.

Taxa había eliminado los nombres y las direcciones de los clientes después de dos años de retención, pero había retenido los números de teléfono de esos clientes durante tres años adicionales. La empresa argumentó que los números de teléfono eran una parte esencial de su base de datos de TI y, por lo tanto, no se podían eliminar en el mismo período de tiempo.

La autoridad de Protección de datos no admitió que ese motivo pudiera justificar una violación de la privacidad de esos datos. Además, no se realizó una adecuada anonimización de los datos.

El proceso de anonimización de datos supone que las empresas deben evitar que una determinada información se relacione con una persona concreta. Aunque Taxa eliminó los nombres de los clientes, en su sistema los números de teléfono seguían vinculados a esos clientes.

Multa ejemplar

La multa que la autoridad de Protección de datos de Dinamarca impuso a esta empresa es de más de 160.000 euros. Esto es el 2,8% de la facturación anual de esa empresa lo que se acerca al máximo previsto en el RGPD del 4% de la facturación anual total.

Antes del RGPD la multa que se hubiera impuesto sería de unos 3.000 euros pero esta norma europea ha incrementado considerablemente el importe de las multas.

Para imponer esa sanción se tuvo en cuenta el volumen de datos que conservó la empresa, sin necesitarlos, durante un periodo de tiempo excesivo. Así mismo, con esta sanción se da a entender que las limitaciones de TI que tengan las empresas no justifican una conservación de datos personales más allá del plazo establecido. En esos casos, las empresas afectadas deben encontrar otras soluciones para evitar ese riesgo.

Al ser el primer aviso de sanción por incumplimiento del RGPD en Dinamarca, hay que esperar a que los tribunales del país están de acuerdo con esa multa.

Esto sirve para que las empresas revisen sus prácticas de retención de datos personales para garantizar la privacidad. Los periodos de conservación dependerán de las correspondientes regulaciones legales y fiscales. Y la eliminación de los datos debe ser permanente y estar documentada.

Otras multas por incumplimiento del RGPD

Aunque es la primera multa impuesta en Dinamarca por incumplimiento del RGPD, no es la primera que se impone a nivel europeo.

La autoridad polaca de Protección de datos impuso la primera multa por infracción del artículo 14 del RGPD. Sancionó a una empresa con casi 220.000 euros por no informar correctamente a sus clientes sobre el tratamiento de sus datos personales.

Por otro lado, la autoridad de Protección de datos de Holanda se convirtió en la primera autoridad supervisora ​​de la UE en establecer una estructura para calcular multas administrativas por violaciones de obligaciones en virtud del RGPD.

Por ello las empresas deben tener en cuenta estas sanciones impuestas en la UE para evitar infracciones del RGPD. Deben aplicar las medidas técnicas y organizativas proactivas.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.