Garante Privacy: Sanzione di 70.000 Euro per Nomina Irregolare del DPO

Violazione del GDPR: Il Caso della Società di Riabilitazione Creditizia

Il Garante per la Protezione dei Dati Personali ha sanzionato con una multa da 70.000 euro una società di riabilitazione creditizia. Il motivo? La nomina del proprio rappresentante legale come Responsabile della Protezione dei Dati (DPO – Data Protection Officer), in palese conflitto di interesse.

La segnalazione, partita dalla Banca d’Italia, ha portato a un’istruttoria approfondita, evidenziando numerose violazioni delle norme europee in materia di protezione dei dati personali.

Cosa Dice il GDPR sul Ruolo del DPO?

Secondo l’articolo 38 del Regolamento UE 2016/679 (GDPR), il DPO deve:

  • Essere designato formalmente dal titolare del trattamento

  • Operare in totale indipendenza e autonomia

  • Non ricoprire ruoli aziendali che possano generare conflitti di interesse

  • Fornire supporto, consulenza, formazione e controllo interno

  • Riferire direttamente ai vertici aziendali

Pertanto, nominare il rappresentante legale della società come DPO compromette l’imparzialità del ruolo e viola i principi fondamentali del GDPR.

I Risultati dell’Istruttoria: Dati su 70.000 Persone

L’indagine, condotta con il supporto della Guardia di Finanza – Nucleo Speciale Privacy, ha rivelato ulteriori irregolarità gravi. La società gestiva un database contenente i dati personali di oltre 70.000 persone, acquisiti tramite aziende riconducibili allo stesso rappresentante legale.

Tuttavia, gli interessati non erano stati informati in merito ai passaggi societari, né risultavano adottate misure tecniche e organizzative adeguate per garantire la sicurezza dei dati.

Violazioni Contestate dal Garante

L’istruttoria ha fatto emergere tre macro-criticità:

1. Conservazione Illegittima dei Dati

  • Archiviazione indifferenziata dei dati

  • Assenza di informativa aggiornata per gli interessati

  • Mancanza di criteri sulla durata di conservazione

2. Mancata Cancellazione dei Dati Personali

  • Nessuna procedura di eliminazione al termine del contratto

  • Inesistenza di policy per la gestione dei tempi di conservazione

3. Nomina Illegittima del DPO

  • Il rappresentante legale agiva anche come DPO

  • Violazione del principio di indipendenza

  • Totale incompatibilità dei ruoli, in contrasto con il GDPR

La Sanzione e le Considerazioni Finali

Alla luce delle gravi violazioni accertate, il Garante della Privacy ha emesso una sanzione amministrativa di 70.000 euro. Il calcolo della sanzione ha tenuto conto di:

  • Numero e natura delle violazioni

  • Durata delle irregolarità nel tempo

  • Mancanza di collaborazione da parte della società

Perché la Conformità al GDPR è Essenziale

Questo caso rappresenta un monito importante per tutte le aziende. La protezione dei dati personali non è solo un obbligo legale, ma anche un elemento chiave per la fiducia degli utenti e la reputazione dell’organizzazione.

Tra le buone pratiche da adottare:

  • Nominare un DPO indipendente e qualificato

  • Applicare misure tecniche e organizzative di sicurezza

  • Rispettare la normativa sulla conservazione e cancellazione dei dati

Hai Bisogno di Supporto GDPR?

Se hai dubbi sulla conformità della tua azienda al GDPR, oppure vuoi una consulenza sulla corretta nomina del DPO, possiamo aiutarti.

Contattaci per un supporto professionale e specializzato.

http://www.networkgtc.it