Il Commissario per il Controllo della protezione dei dati e la libertà di informazione per lo stato di Berlino ha imposto alla società immobiliare Deutsche Wohnen una multa milionaria, 14.5 milioni di euro, per la violazione degli articoli 5 e 25 del GDPR. La multa, il cui importo è il più alto fino ad ora elevato, è stata emessa non per un data breach ma per irregolarità nell’archiviazione dei dati senza una giustificazione legale. In Germania, così come in altri Stati membri dell’UE, quali Austria, Francia e Regno Unito, vi è una tendenza all’aumento delle multe stabilite dalle autorità in difesa della privacy.

Secondo il Commissario, la Deutsche Wohnen ha creato un archivio e usato in modo inappropriato, per un lungo periodo, i dati sensibili di proprietari e inquilini. Tra i dati archiviati c’erano buste paga, dati fiscali, previdenziali e di assicurazione sanitaria, e altri dati relativi alla situazione personale e finanziaria, che gli inquilini dovevano presentare a dimostrazione della propria affidabilità creditizia per poter stipulare un contratto di affitto. Il Commissario non ha potuto provare, però, eventuali accessi illegali o ad opera di soggetti di terze parti ai dati pesonali dei clienti. 

L’articolo 5 del GDPR prevede non solo che la raccolta di questo tipo di dati avvenga per un tempo prestabilito e dopo tale tempo i dati devono essere distrutti, ma anche che i dati raccolti siano "adeguati e rilevanti" ai fini del trattamento. 

Secondo il Commissario, la società tedesca ha violato anche l’articolo 25, non avendo mai creato un sistema informativo sicuro che prevedesse una opzione per eliminare i dati non più necessari. 
La società tedesca ha archiviato i dati senza valutare se la loro conservazione fosse lecita o necessaria. In alcuni dei casi presi in esame, sono stati rilevati dati personali che non erano più pertinenti allo scopo per il quale erano stati raccolti.

Il Commissario per il controllo, oltre alla multa di 14,5 milioni di euro, nei confronti di Deutsche Wohnen ha emesso anche alcune sanzioni supplementari con importi compresi tra 6.000 e 17.000 euro per aver archiviato illegalmente, in 15 casi individuali, i dati personali degli inquilini.

La sanzione è stata emessa per violazioni verificatesi tra maggio 2018 e marzo 2019, ma già nel giugno 2017 erano state evidenziate alcune irregolarità. Alla Deutsche Wohnen era stato chiesto di porre rimedio a queste violazioni, ma una nuova ispezione nel marzo 2019 non ha mostrato nessun miglioramento rispetto all’ispezione precedente spingendo l'Autorità ha imporre un'ammenda alla quale Deutsche Wohnen ha annunciato ricorso.

Il calcolo della sanzione
La sanzione in realtà è ben più bassa di quanto il GDPR avrebbe potuto prevedere: la sanzione applicata infatti ammonta al 2% circa del bilancio annuale di Deutsche Wohnen, per l'infrazione dell'articolo 25 del GDPR e non il 4% del bilancio annuale per l'infrazione dell'articolo 5 del GDPR. Se fosse stata comminata una sanzione pari al 4%, i milioni di euro sarebbero stati 57. Pare, in questo caso, che il Commissario di Berlino abbia infatti riconosciuto che i principi generali che emergono dalla lettura dell'art 5 non siano sufficientemente precisi per poter servire a base giuridica per una sanzione.

Il Commissario tedesco ha così commentato la multa a Deutsche Wohnen:

“I cimiteri di dati, come quelli che abbiamo trovato alla Deutsche Wohnen, sfortunatamente si riscontrano spesso nella nostra pratica di vigilanza”.

Queste considerazioni valgono anche per le imprese del nostro Paese.