Violazione del GDPR: Il Caso della Società di Riabilitazione Creditizia

Il Garante per la Protezione dei Dati Personali ha inflitto una sanzione di 70.000 euro a una società di riabilitazione creditizia per aver nominato il proprio rappresentante legale come Responsabile della Protezione dei Dati (DPO – Data Protection Officer).

Questa scelta è risultata incompatibile con il ruolo del DPO, che deve operare in totale indipendenza e assenza di conflitti di interesse. La segnalazione è partita dalla Banca d’Italia, portando l’Autorità a intervenire con un’istruttoria approfondita.

Il Ruolo del DPO e le Norme del GDPR

Cosa Dice il Regolamento Europeo?

L’articolo 38 del GDPR stabilisce che il Data Protection Officer deve essere:
Designato dal titolare o dal responsabile del trattamento
Indipendente nello svolgimento delle sue funzioni
Esonerato da conflitti di interesse con altre cariche aziendali
Responsabile di supporto, controllo e formazione sulla protezione dei dati
Tenuto a riferire direttamente ai vertici aziendali

Nominare il rappresentante legale come DPO è una violazione delle norme europee, in quanto compromette l’autonomia e l’imparzialità richieste per questo incarico.

Indagine e Scoperta delle Violazioni del GDPR

Un Database con Oltre 70.000 Persone

Durante l’istruttoria condotta con il supporto del Nucleo Speciale della Guardia di Finanza, sono emerse ulteriori irregolarità. La società gestiva un database contenente i dati di oltre 70.000 persone, raccolti da diverse aziende facenti capo al rappresentante legale.

Questi dati sono stati archiviati senza un’adeguata informativa agli interessati riguardo ai passaggi societari. Inoltre, non erano state adottate misure tecniche e organizzative adeguate per la protezione delle informazioni.

Violazioni Contestate

Le principali irregolarità emerse dall’indagine riguardano:

1. Conservazione Illegittima dei Dati

Dati archiviati in modo indifferenziato, senza criteri chiari
Mancata informativa agli interessati sulle modifiche societarie
Assenza di policy chiare sulla durata della conservazione dei dati

2. Mancata Cancellazione dei Dati Personali

❌ Nessuna eliminazione dei dati dopo la cessazione del rapporto contrattuale
Nessuna procedura per la gestione dei tempi di conservazione

3. Mancato Rispetto dei Requisiti del DPO

Illegittima nomina del rappresentante legale come Data Protection Officer
Violazione del principio di indipendenza e autonomia del DPO

Sanzione di 70.000 Euro e Considerazioni Finali

A fronte della gravità e durata delle violazioni, il Garante della Privacy ha imposto una multa di 70.000 euro alla società responsabile. La sanzione è stata calcolata tenendo conto di:
✔ Il numero di violazioni accertate
✔ La mancata collaborazione dell’azienda durante l’istruttoria
✔ La durata nel tempo delle irregolarità riscontrate

Importanza della Conformità al GDPR

Il caso evidenzia quanto sia fondamentale per le aziende rispettare le normative sulla protezione dei dati. La nomina di un DPO indipendente, il rispetto delle tempistiche di conservazione dei dati e l’adozione di misure di sicurezza adeguate sono aspetti essenziali per evitare sanzioni.

Le aziende devono garantire che il loro Responsabile della Protezione dei Dati operi senza conflitti di interesse, proteggendo la privacy degli utenti in conformità al GDPR.

Se hai bisogno di una consulenza sulla protezione dei dati e sulla corretta nomina del DPO, contattaci per un supporto specializzato.