L’Autorità di Controllo olandese (Autoriteit Persoonsgegevens, AP), in data 14 gennaio 2022, ha sanzionato per euro 525.000,00 la casa editrice DPG Media Magazines B.V., per aver strutturato un processo in funzione del quale veniva richiesto di default, agli interessati che esercitavano i propri diritti, copia del documento d’identità al fine di identificare l’interessato.
Nel caso in esame ai clienti di DPG Media Magazines B.V. che esercitavano il diritto di accesso, per sapere se fosse in corso un trattamento dei propri dati personali da parte del Titolare, era sempre richiesto di inviare copia del documento d’identità, anche nel caso in cui i clienti volessero annullare o modificare il proprio abbonamento.
Secondo l’Autorità di Controllo olandese la richiesta sistematica del documento d’identità, in caso di esercizio dei diritti da parte dell’interessato, solleverebbe “ostacoli inutili all’esecuzione dei diritti riconosciuti dal GDPR”, mentre i clienti dovrebbero poter esercitare i propri diritti in modo “facilmente accessibile”.
Inoltre, Secondo l’Autorità la prassi di richiedere automaticamente copia di un documento, senza prima verificare di quali informazioni il Titolare fosse effettivamente in possesso, avrebbe introdotto una procedura “impeditiva” e “sproporzionata rispetto alla natura e alla quantità di dati personali” raccolti che, peraltro, anche se fosse stata ritenuta lecita avrebbe richiesto di attuare adeguate misure di sicurezza.
Va, infine, evidenziato che nel comunicato col quale è stata resa nota la sanzione comminata alla società editrice, la vice presidente dell’autorità, Monique Verdier, ha dichiarato che gli utenti “non dovrebbero mai temere che le copie dei loro dati possano finire nelle mani sbagliate a causa di un attacco ransomware o di altre violazioni dei dati. Ciò potrebbe dare luogo a furti d’identità e a gravi conseguenze per gli interessati”.