Una empresa finlandesa tuvo que pagar una multa de casi un millón de euros porque, entre otras cosas, procesó datos personales por un período indefinido. Esto no está permitido bajo el RGPD. Además, los particulares tenían que crear una cuenta en el sitio web de la empresa para realizar compras. La autoridad finlandesa de protección de datos se llama Tietosuoja.
La compañía procesó datos personales por un período indefinido en violación del RGPD
La empresa declaró que corresponde a los propios interesados determinar la duración del almacenamiento. Cuando el interesado elimina su cuenta de usuario, la empresa elimina los datos personales. Sin embargo, la empresa almacena los datos personales durante un tiempo muy largo e indefinido, si el interesado no elimina su cuenta de usuario. Algunas otras compañías generalmente afirman que la compañía elimina la cuenta de usuario si la persona no ha estado activa durante, por ejemplo, 2 años. En tales casos, tienen un período de almacenamiento predeterminado.
Según la investigación realizada por la autoridad finlandesa de protección de datos, la empresa no disponía deliberadamente de un período de conservación fijo. No está permitido responsabilizar al interesado, que debe eliminar su cuenta de usuario para que finalice el período de retención. Además, una persona no podía simplemente entrar en el sitio web y comprar sin tener que crear una cuenta de usuario.
Período de retención según RGPD
Cuando una empresa procesa datos personales, la empresa debe especificar un período de retención. La empresa eliminará los datos personales cuando ya no sean necesarios para el tratamiento para el fin para el que fueron recogidos. No está permitido tener un período de almacenamiento ilimitado. Tenga en cuenta que, en algunos casos, las empresas deben continuar procesando datos personales porque están regulados en alguna otra ley que no sea RGPD. Está permitido hacerlo.
Consecuencias para la empresa
La empresa en el caso recibió una multa por la infracción del RGPD. En cambio, recurrieron dicha resolución ante el Tribunal de lo Contencioso-Administrativo de Finlandia. En otro caso similar, el Tribunal Supremo de lo Contencioso-Administrativo de Finlandia no admitió el caso. El importe de la multa en el presente asunto ascendía a 856 000 euros. La multa máxima que puede recibir una empresa en caso de infracciones graves del RGPD es del 4 por ciento de la facturación total anual o 20 millones de euros (la más alta de las opciones).
La empresa tuvo que pagar una multa por no haber interrumpido la comercialización directa a petición
Una empresa internacional con sede en Suecia tuvo que pagar una multa, ya que no interrumpieron su comercialización directa cuando los interesados lo solicitaron. Hubo seis (6) interesados que se quejaron de esto en tres países diferentes. Estos países luego transfirieron el caso a Suecia, ya que la compañía tiene su sede allí.
