TUTELA DEI DATI PERSONALI
Garante privacy: sanzionata per 70 mila euro l’azienda che ha nominato come DPO il proprio rappresentante legale.
A distanza di sette anni dall’entrata in vigore del GDPR, il Garante per la protezione dei dati personali ha dovuto ribadire un principio fondamentale: il Responsabile della protezione dei dati (DPO) non può coincidere con il rappresentante legale della società presso la quale è stato designato. Il ruolo del DPO richiede infatti indipendenza e autonomia, soprattutto nella funzione di vigilanza sulla corretta applicazione delle norme in materia di protezione dei dati personali.
Con un provvedimento del 28 febbraio 2025, l’Autorità ha inflitto una sanzione a una società attiva nel settore della riabilitazione creditizia, in seguito a una segnalazione proveniente dalla Banca d’Italia. La vicenda ha evidenziato come, nonostante le chiare disposizioni del Regolamento europeo, esistano ancora realtà che non comprendono l’incompatibilità tra il ruolo di DPO e quello di rappresentante legale.
Secondo quanto stabilito dall’articolo 38 del GDPR, il Data Protection Officer deve essere un soggetto designato dal titolare o dal responsabile del trattamento con l’incarico di fornire supporto, consulenza e formazione, oltre a svolgere funzioni di monitoraggio sull’applicazione delle normative in materia di privacy. Il DPO deve poter operare in modo indipendente, senza conflitti di interesse e senza ricevere istruzioni su come eseguire il proprio incarico, riferendo direttamente ai vertici dell’azienda.
Tuttavia, dalle verifiche condotte dal Garante è emerso che la società coinvolta aveva nominato come DPO proprio il suo rappresentante legale, senza considerare l’incompatibilità tra le due cariche e senza nemmeno comunicare la designazione all’Autorità.
Le indagini hanno portato alla luce altre gravi violazioni del GDPR. La società gestiva un database contenente i dati di oltre 70.000 persone, raccolti nel tempo da diverse aziende facenti capo al suo rappresentante legale. Queste imprese, che si erano succedute negli anni nella fornitura degli stessi servizi, avevano accumulato informazioni senza un’adeguata tracciabilità delle origini dei dati.
Una delle criticità emerse riguardava l’assenza di strumenti tecnici in grado di identificare quale società, tra quelle riconducibili al rappresentante legale, avesse raccolto determinati dati personali. Inoltre, le informazioni venivano conservate in maniera indiscriminata, senza fornire agli interessati indicazioni chiare sui passaggi societari che avevano coinvolto i loro dati.
Altre violazioni riguardavano la gestione dei dati nel tempo. La società non aveva mai definito periodi certi di conservazione e, anche dopo la cessazione dei rapporti contrattuali, continuava a detenere informazioni non più necessarie. Inoltre, alcuni trattamenti venivano delegati a soggetti esterni – sia persone fisiche che giuridiche – senza stipulare accordi contrattuali che regolassero tali operazioni, in violazione delle disposizioni del GDPR.
A fronte di queste irregolarità, il Garante ha imposto alla società di adottare misure correttive per garantire una gestione conforme dei dati personali. Nonostante l’assenza di precedenti specifici, l’Autorità ha deciso di sanzionare l’azienda con una multa di 70.000 euro, tenendo conto della gravità delle violazioni, della loro durata e della scarsa collaborazione dimostrata nel corso delle indagini.
Con un provvedimento del 28 febbraio 2025, l’Autorità ha inflitto una sanzione a una società attiva nel settore della riabilitazione creditizia, in seguito a una segnalazione proveniente dalla Banca d’Italia. La vicenda ha evidenziato come, nonostante le chiare disposizioni del Regolamento europeo, esistano ancora realtà che non comprendono l’incompatibilità tra il ruolo di DPO e quello di rappresentante legale.
Secondo quanto stabilito dall’articolo 38 del GDPR, il Data Protection Officer deve essere un soggetto designato dal titolare o dal responsabile del trattamento con l’incarico di fornire supporto, consulenza e formazione, oltre a svolgere funzioni di monitoraggio sull’applicazione delle normative in materia di privacy. Il DPO deve poter operare in modo indipendente, senza conflitti di interesse e senza ricevere istruzioni su come eseguire il proprio incarico, riferendo direttamente ai vertici dell’azienda.
Tuttavia, dalle verifiche condotte dal Garante è emerso che la società coinvolta aveva nominato come DPO proprio il suo rappresentante legale, senza considerare l’incompatibilità tra le due cariche e senza nemmeno comunicare la designazione all’Autorità.
Le indagini hanno portato alla luce altre gravi violazioni del GDPR. La società gestiva un database contenente i dati di oltre 70.000 persone, raccolti nel tempo da diverse aziende facenti capo al suo rappresentante legale. Queste imprese, che si erano succedute negli anni nella fornitura degli stessi servizi, avevano accumulato informazioni senza un’adeguata tracciabilità delle origini dei dati.
Una delle criticità emerse riguardava l’assenza di strumenti tecnici in grado di identificare quale società, tra quelle riconducibili al rappresentante legale, avesse raccolto determinati dati personali. Inoltre, le informazioni venivano conservate in maniera indiscriminata, senza fornire agli interessati indicazioni chiare sui passaggi societari che avevano coinvolto i loro dati.
Altre violazioni riguardavano la gestione dei dati nel tempo. La società non aveva mai definito periodi certi di conservazione e, anche dopo la cessazione dei rapporti contrattuali, continuava a detenere informazioni non più necessarie. Inoltre, alcuni trattamenti venivano delegati a soggetti esterni – sia persone fisiche che giuridiche – senza stipulare accordi contrattuali che regolassero tali operazioni, in violazione delle disposizioni del GDPR.
A fronte di queste irregolarità, il Garante ha imposto alla società di adottare misure correttive per garantire una gestione conforme dei dati personali. Nonostante l’assenza di precedenti specifici, l’Autorità ha deciso di sanzionare l’azienda con una multa di 70.000 euro, tenendo conto della gravità delle violazioni, della loro durata e della scarsa collaborazione dimostrata nel corso delle indagini.
