El European Data Protection Board (en adelante, “EDPB”), ha compartido una sanción de 856.000 euros que la Autoridad Finlandesa de Protección de Datos impuso a una empresa por no definir el período de conservación de los datos de sus clientes.
La Autoridad Finlandesa recibió una queja de un cliente en la que se hacía constar la práctica de la empresa sancionada de exigir el registro y creación de contraseñas para que fuese posible la compra online con tarjeta bancaria.
A raíz de la referida queja, la Autoridad Finlandesa inició un procedimiento de investigación, en el marco del cual, pudo conocer las siguientes cuestiones:
- La empresa no contaba con una política de conservación de los datos de sus clientes. Además, y aún habiendo solicitado la supresión de sus datos, la empresa sancionada no eliminaba totalmente los datos objeto de tratamiento.
- La empresa tampoco había informado a aquellos clientes con cuentas para poder hacer compras online sobre el período durante el cuál iba a recopilar sus datos.
- En definitiva, la empresa, en su condición de Responsable del Tratamiento, habría conservado los datos personales de los clientes por tiempo indefinido, salvo que el interesado hubiese solicitado la supresión de los datos.
La Autoridad Finlandesa considera que la práctica de la empresa es contraria al Reglamento General de Protección de Datos (“RGPD”),y, atendiendo a su volumen de facturación anual, impone a la organización una multa de 856.000 euros.