“Il Garante privacy finlandese sanziona un rivenditore on line per non aver definito il periodo di conservazione dei dati dei clienti”
Il 18 marzo 2024 l’Autorità finlandese per la protezione dei dati personali ha comunicato di aver comminato una sanzione amministrativa di 856.000,00 euro nei confronti di un rivenditore online per la violazione, ai sensi del Regolamento generale sulla protezione dei dati dell’UE, degli obblighi in materia di conservazione dei dati e per aver richiesto ai clienti di creare un account prima di acquistare gli articoli sul sito e-commerce.
Il provvedimento sanzionatorio è stato adottato in seguito a un procedimento avviato sulla base di un reclamo ricevuto da un cliente che non era riuscito a fare shopping online poiché gli veniva richiesta la registrazione e la creazione di una password per poter finalizzare l’acquisto con una carta di debito. Il reclamante – contrariato – si è rivolto al Garante privacy.
Dal canto suo l’Autorità finlandese ha dichiarato illegittima la condotta della società a cui fa capo Verkkokauppa.com, in quanto la creazione di un account cliente non può essere la conditio sine qua non per gli acquisti online.
Secondo il Garante, la richiesta della creazione di un account cliente per poter effettuare un acquisto individuale in un negozio online non è in linea con gli articoli 5, par.1 let.e e 25, par. 2 del GDPR.
Il titolare del trattamento, inoltre, non avrebbe definito il periodo di conservazione dei dati personali dei clienti raccolti come richiesto dall’articolo 5, paragrafo 1, lettera e), e dall’articolo 25, paragrafo 2, del GDPR.
La condotta posta in essere dalla società ha infatti portato alla conservazione dei dati dei singoli acquirenti per un periodo superiore a quello necessario per effettuare un singolo acquisto. Verkkokauppa.com ha conservato i dati necessari per la fornitura del servizio, come nome, indirizzo e-mail e numero di telefono per un periodo di tempo illimitato e non definito dalle privacy policy del sito. Secondo la difesa della società, che si era dichiarata ottemperante alla normativa del GDPR, il periodo di conservazione dei dati era determinato dal cliente stesso che a sua discrezione aveva la facoltà di contattare il servizio clienti per chiudere l’account e cancellare i dati. In questo modo Verkkokauppa.com ha potuto memorizzare i dati dei singoli acquisti per un periodo indefinito.
Secondo il Regolamento europeo sulla protezione dei dati personali un sito e-commerce può conservare i dati personali per un periodo predefinito allo scadere del quale i dati devono essere cancellati o trattati in maniera anonima.
La decisione non è ancora definitiva poiché la società ha annunciato che ricorrerà in appello.
