L’Autorità di controllo della protezione dei dati personali Die Berliner Beauftragte für Datenschutz und Informationsfreiheit ha erogato una sanzione esemplare di € 13,5 milioni per violazione dell’art.5 ai danni dell’azienda Deutsche Wohnen SE, una società immobiliare tedesca e una delle 50 società che compongono l’indice MDAX .
L’art. 5 del GDPR descrive i “principi applicabili” per cui un trattamento possa essere ritenuto legittimo. E’ un articolo particolarmente importante, sempre menzionato nei pareri del Garante in quanto riporta i principi fondamentali per effettuare ogni tipo di trattamento.
Nello specifico la sanzione è stata comminata per la mancata osservanza dell’ art. 5 par. 1 lettera e) ” conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
Deutsche Wohnen avrebbe violato l’art.5 utilizzando un sistema di archiviazione dei dati personali dei suoi clienti che non prevedeva la cancellazione dei dati personali non più necessari. A seguito di un’ispezione, l’autorità di controllo tedesca ha potuto constatare che non era implementata alcuna procedura di cancellazione dei dati, ma spesso erano trattati dati non necessari violando quindi anche il principio di pertinenza e non eccedenza menzionato nello stesso articolo.
Tra i dati sottoposti a controllo sono state rinvenute dichiarazioni salariali, dati fiscali, previdenziali e di assicurazione sanitaria e altri dati personali relativi alla situazione personale e finanziaria degli inquilini.
La ratio del principio di limitazione della conservazione dei dati solo per il tempo strettamente necessario ed il trattamento dei dati solo se pertinenti e non eccedenti, è quella di favorire un processo di garanzia sul trattamento che possa limitare al minimo i rischi per le persone fisiche anche a seguito di una violazione.