È di pochi giorni fa la notizia che il Garante per la protezione dei dati personali danese – il Datatilsynet – ha multato per un milione e centomila Corone, circa centocinquantamila Euro, la catena danese Arp-Hansen Hotel Group A/S, ben presente da oltre mezzo secolo ad Aarhus e soprattutto Copenaghen con una dozzina di alberghi, pari a circa un quinto delle camere presenti nella Capitale, oltre ad avere più di 100 sale conferenze.
Dopo una verifica audit del 2018, era emerso che le procedure di cui si era dotato il gruppo non erano sufficienti a garantire il rispetto dei principi del Regolamento UE 679/2016, in particolare Frederik Viksøe Siegumfeldt, responsabile dell’unità di supervisione all’interno dell’Authority ha evidenziato come erano violati i precetti in merito di data retention dal momento che la società non aveva provveduto alla prevista cancellazione nei tempi corretti cioè, secondo quanto stabilito all’art. 5 paragrafo 1.1, lettera e. del GDPR, in conformità al principio di limitazione, “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”, dopodiché necessitano di essere cancellati o quantomeno anonimizzati e tenuti per lecite e preventivate finalità.
L’Agenzia danese, dopo aver effettuato un’ispezione ha appurato che il gruppo effettivamente non cancellava i dati dei clienti che aveva avuto negli anni passati, neppure aveva previsto una data o un periodo di storicizzazione, semplicemente avevano conservato tutti i dati, da quelli dell’identità degli ospiti, fino ai documenti e alle carte di credito con cui avevano pagato.
Secondo l’Autorità almeno cinquecentomila profili di vecchi clienti dovevano già esser stati rimossi dagli archivi nel momento in cui è stato effettuato il controllo.
Di conseguenza non hanno potuto far altro che constatare che le scadenze per l’eliminazione non erano soddisfacenti, ribadendo: “Abbiamo scelto di denunciare questo caso alla polizia danese, perché a nostro avviso Arp-Hansen non è stata in grado di trovare ragioni oggettive per l’ampio archivio di informazioni… in una società in cui i nostri dati personali sono sempre più registrati e sfruttati, è fondamentale che noi cittadini possiamo avere fiducia che i nostri dati personali siano elaborati per scopi oggettivi e che siano conservati solo per il tempo necessario.”
L’Agenzia danese per la protezione dei dati personali per tale ragione ha raccomandato che ad Arp-Hansen Hotel Group sia inflitta un’ammenda di 1 100 000 DKK, giacché non ha rispettato le norme del GDPR in merito di limitazione della conservazione e cancellazione dei dati.
La multa raccomandata alle forze dell’ordine danesi mostra il peso che hanno i Garanti della Privacy dei paesi UE e soprattutto l’importanza che ripongono nella difesa dei diritti del cittadino-consumatore.
