La autoridad de control de Dinamarca ha propuesto una multa para el banco Danske por no haber supuestamente eliminado los datos que ya no eran necesarios y ha presentado un informe policial.

La autoridad de control de Dinamarca ha presentado un informe policial contra Danske Bank y ha propuesto que se le imponga una multa de 1,3 millones de euros, según este informe del CEPD. Estos hechos son el resultado de una investigación que data de noviembre de 2020, cuando la autoridad de control inició un caso de oficio tras haber el banco comunicado que había identificado un problema con la supresión de los datos para los que no existía base ni justificación de tratamiento. Se precisa una base legal para poder tratar datos conforme al RGPD y estos sólo podrán almacenarse mientras sea necesario para la finalidad para la que fueron recogidos.

El banco no pudo demostrar cumplimiento e infringió así el artículo 5(2) del RGPD. 

En relación con la investigación de la autoridad de control de Dinamarca, se descubrió que el banco no había sido capaz de demostrar que se habían establecido normas para el almacenamiento y supresión de datos personales, y tampoco pudo justificar los procesos de eliminación manual de los mismos. El artículo 5(2) del RGPD señala de manera específica que “el responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo” y el artículo 5(1)(e) indica que “los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales“. De acuerdo a Kenni Elm Olsen, consultora especialista de la autoridad de control de Dinamarca “uno de los principios básicos del RGPD es que sólo se puede tratar la información necesaria, y cuándo ésta ya no lo sea, deberá ser eliminada. Cuando se trata de una organización del tamaño del Danske Bank, que tiene muchos sistemas y muy complejos, es esencial que documentes que la supresión tuvo lugar”. 

La autoridad de control de Dinamarca ha propuesto una multa total de 1,3 millones de euros tras considerar los detalles del caso

En la determinación de la multa que debería imponerse, la autoridad de control de Dinamarca consideró que se trataba de una infracción de un principio básico del RGPD (Artículo 5) en relación al tratamiento de datos personales. La autoridad de control también tuvo en cuenta que las acciones del banco afectaron a un gran número de interesados. Los sistemas del banco tratan datos personales de varios millones de interesados. La autoridad de control de Dinamarca ha enfatizado la naturaleza y la seriedad de la infracción y también el requisito de que una multa debe ser efectiva, proporcionada al incumplimiento y tener un efecto disuasorio. La autoridad de control de Dinamarca también valoró que el Danske Bank ofreció información de manera activa durante el caso y considera que el banco intentó mitigar el daño potencial ocasionado a los sujetos. Como resultado, se ha impuesto una multa de 1,3 millones de euros.

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Infórmate aquí.