Garante Privacy, sanzionata una società che aveva nominato come Data Protection Officer il proprio rappresentante legale

Sono trascorsi 7 anni dall'introduzione del GDPR, eppure il Garante deve ancora ribadire che il ruolo di Responsabile della protezione dei dati (Data Protection Officer) non è compatibile con quello di rappresentante legale della società presso la quale è designato. Questa figura deve essere indipendente, svolgendo anche compiti di sorveglianza.

Lo scorso 28 febbraio l'Autorità ha rivelato di aver sanzionato una società  di riabilitazione creditizia a seguito di una segnalazione della Banca d'Italia. Non risulta ancora chiaro a tutti gli addetti ai lavori che il ruolo di Responsabile della protezione dei dati (DPO) è incompatibile con quello di rappresentante legale.

In base a quanto prescritto dall’art. 38 del Regolamento Europeo, il Data Protection Officer deve infatti essere un soggetto designato dal titolare (o dal responsabile del trattamento) per assolvere, nei confronti dello stesso, a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione della normativa di protezione dei dati personali, in piena indipendenza e autonomia, in assenza di conflitti di interessi e senza ricevere istruzioni in ordine all’esecuzione dei suoi compiti, sui quali riferisce direttamente al vertice gerarchico del titolare.

Dalla documentazione acquisita nel corso di un procedimento avviato dal Garante, è risultato che una società che si occupa principalmente di cancellazione delle segnalazioni nelle centrali creditizie operate dalle banche "ha ritenuto di provvedere alla designazione del Responsabile per la protezione dei dati personali e ha individuato lo stesso nel rappresentante legale della società medesima".

La società aveva quindi designato come DPO il suo rappresentante legale, non considerando che le due cariche sono incompatibili l’una con l’altra, e senza peraltro darne neanche comunicazione all’Autorità. In base agli elementi acquisiti nel corso dell'istruttoria, che ha visto anche la collaborazione del Nucleo Speciale della Guardia di Finanza, è risultato inoltre che la società deteneva un database nel quale venivano registrati i dati di oltre 70mila persone.

Altre violazioni del GDPR

Le informazioni erano state raccolte dalle diverse aziende che facevano capo al legale rappresentante della società e che negli anni si erano avvicendate nella fornitura dei medesimi servizi alla clientela. Numerose anche le violazioni del GDPR emerse in relazione alle misure tecniche e organizzative adottate. Nessuna funzionalità del sistema informativo che gestiva la banca dati aziendale, consentiva, ad esempio, di individuare, rispetto a ciascun cliente, quale fosse la società che aveva raccolto i dati personali; i dati, inoltre, erano conservati in modo indifferenziato, senza aver fornito un’adeguata informazione agli interessati sui passaggi societari.

Dopo la cessazione del rapporto contrattuale, l’Azienda non aveva inoltre mai provveduto alla cancellazione dei dati non più necessari e non aveva individuato precise tempistiche di conservazione dei dati. Alcuni trattamenti erano effettuati, per conto della società, da alcuni soggetti - persone fisiche e giuridiche – in assenza di un contratto che ne disciplinasse i rapporti.

Dopo aver prescritto le opportune misure correttive, il Garante della privacy, pur in assenza di precedenti specifici, ha sanzionato la società per 70.000 euro, in considerazione della gravità, del numero, della durata delle violazioni e della condotta poco collaborativa.