Sanzionata dal Garante Privacy una società che aveva nominato come Data Protection Officer il proprio rappresentante legale
A 7 anni dall'introduzione del GDPR, il Garante deve ancora tornare a ribadire che il ruolo di Responsabile della protezione dei dati (Data Protection Officer) è del tutto incompatibile con quello di rappresentante legale della società presso la quale è designato, e deve essere indipendente, svolgendo anche compiti di sorveglianza.
Ha dell'inverosimile la notizia data dall'Autorità, che ha sanzionato una società di riabilitazione creditizia a seguito di una segnalazione della Banca d'Italia, ma a quanto pare non è ancora chiaro a tutti gli addetti ai lavori che il ruolo di Responsabile della protezione dei dati (DPO) è incompatibile con quello di rappresentante legale.
Secondo quanto prescritto dall’art. 38 del Regolamento Europoeo, il Data Protection Officer deve infatti essere un soggetto designato dal titolare (o dal responsabile del trattamento) per assolvere, nei confronti dello stesso, a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione della normativa di protezione dei dati personali, in piena indipendenza e autonomia, in assenza di conflitti di interessi e senza ricevere istruzioni in ordine all’esecuzione dei suoi compiti, sui quali riferisce direttamente al vertice gerarchico del titolare.
Eppure, dalla documentazione acquisita nel corso di un procedimento avviato dal Garante, è risultato che una società che si occupa principalmente di cancellazione delle segnalazioni nelle centrali creditizie operate dalle banche "ha ritenuto di provvedere alla designazione del Responsabile per la protezione dei dati personali e ha individuato lo stesso nel rappresentante legale della società medesima".
La società aveva quindi designato come DPO il suo rappresentante legale, non considerando che le due cariche sono incompatibili l’una con l’altra, e senza peraltro darne neanche comunicazione all’Autorità.
In base agli elementi acquisiti nel corso dell'istruttoria, che ha visto anche la collaborazione del Nucleo Speciale della Guardia di Finanza, è risultato inoltre che la società deteneva un database nel quale venivano registrati i dati di oltre 70mila persone.
Le informazioni erano state raccolte dalle diverse aziende che facevano capo al legale rappresentante della società e che negli anni si erano avvicendate nella fornitura dei medesimi servizi alla clientela.
Numerose anche le violazioni del GDPR emerse in relazione alle misure tecniche e organizzative adottate. Nessuna funzionalità del sistema informativo che gestiva la banca dati aziendale, consentiva, ad esempio, di individuare, rispetto a ciascun cliente, quale fosse la società che aveva raccolto i dati personali; i dati, inoltre, erano conservati in maniera indifferenziata senza aver fornito un’adeguata informazione agli interessati sui passaggi societari.
L’Azienda, peraltro, non aveva mai provveduto, dopo la cessazione del rapporto contrattuale, alla cancellazione dei dati non più necessari e non aveva individuato precise tempistiche di conservazione dei dati. Taluni trattamenti erano effettuati, per conto della società, da alcuni soggetti - persone fisiche e giuridiche – in assenza di un contratto che ne disciplinasse i rapporti.
Dopo aver prescritto le opportune misure correttive, il Garante della privacy, pur in assenza di precedenti specifici, ha sanzionato la società per 70.000 euro, tenendo conto della gravità, del numero, della durata delle violazioni e della condotta poco collaborativa.
