En caso de una violación grave de la seguridad, la Agencia Danesa de Protección de Datos determinó que Salling había tomado las medidas técnicas y organizativas adecuadas, pero se criticó que Salling sólo informará del incidente a la autoridad supervisora 10 días después de que la empresa tuviera conocimiento del incidente.

La Agencia Danesa de Protección de Datos ha tomado una decisión en un caso en el que un empleado de Salling cerró a un ex empleado a través de la entrada del personal y en una sala de conserjería cerrada y mostró al ex empleado material de videovigilancia de la zona de la tienda, donde surgieron fotos de la ex novia del ex empleado del ex empleado comprando con un amigo.

A pesar del incidente, la Agencia Danesa de Protección de Datos constató que Salling había adoptado las medidas organizativas y técnicas adecuadas para garantizar un nivel de seguridad adecuado a los riesgos que entraña el tratamiento de datos personales en cuestión y que la entidad no podía ser considerada responsable del incidente en cuestión.

Además de muchas de las medidas que han adoptado, la Agencia Danesa de Protección de Datos hizo hincapié en que un empleado a sabiendas y en contra de un mejor conocimiento de varias maneras, por ejemplo, al dar a un antiguo empleado acceso al edificio, rompió las directrices de la empresa. La Agencia Danesa de Protección de Datos consideró además que el empleado tomó varias medidas pendientes más allá de lo que razonablemente cabía esperar que Salling debería haber estado preparado o tomado medidas para evitar.

Por lo tanto, la Agencia Danesa de Protección de Datos se ha limitado a criticar la notificación tardía del incidente a la autoridad de control.

FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA DANIMARCA