Il Garante Privacy, con il provvedimento del 19 dicembre 2024 n°10106904, ha ribadito che il ruolo del Data Protection Officer (DPO) è incompatibile con quello di rappresentante legale della società dove è designato. Evidentemente per alcuni non è ancora chiaro. Il provvedimento sottolinea, inoltre, l’importanza di adottare misure tecniche e organizzative adeguate a garantire la protezione dei dati personali degli interessati.
I fatti e l’ispezione del Garante Privacy
L’istruttoria è stata avviata a seguito di una segnalazione della Banca d’Italia, che ha rilevato numerose richieste di accesso ai dati della Centrale Rischi, effettuate per conto di persone fisiche senza legittima autorizzazione, con il rischio di un uso improprio di dati finanziari sensibili.
L’ispezione del Garante, condotta anche con la collaborazione del Nucleo Speciale della Guardia di Finanza, ha evidenziato che la società aveva acquisito accessi e trattato i dati di oltre 70.000 soggetti senza adottare le necessarie misure per garantire la protezione e la trasparenza nel trattamento delle informazioni. I dati erano stati raccolti da diverse aziende controllate dal legale rappresentante della società, che nel tempo avevano fornito i medesimi servizi alla clientela.
Inoltre, il Garante ha riscontrato che la società non aveva né cancellato i dati non più necessari né implementato correttamente le misure previste dal GDPR per la protezione dei dati personali. Infine, è emerso che la società aveva nominato come DPO il proprio rappresentante legale, ignorando che le due cariche sono incompatibili tra loro.
Diverse le violazioni riscontrate dal Garante Privacy, prime tra tutte la nomina a DPO del rappresentante legale
Sono state diverse le violazioni riscontrate dal Garante durante l’ispezione. Vediamole tutte nel dettaglio.
La nomina di DPO e rappresentante legale della stessa società
Una delle questioni più rilevanti emerse riguarda la nomina non conforme del Data Protection Officer (DPO). L’art. 37 del GDPR stabilisce che la nomina del DPO deve rispettare criteri di indipendenza, responsabilità e competenza, senza conflitti di interesse. Nel caso specifico, la società ha nominato come DPO il proprio rappresentante legale, creando un conflitto di interesse evidente, in quanto una figura che determina le finalità e i mezzi del trattamento non può vigilare sull’osservanza della normativa sulla protezione dei dati.
Inoltre, la società non ha rispettato l’obbligo di comunicare i dati del DPO all’Autorità di controllo, aggravando la violazione. Tale omissione, infatti, ha impedito al Garante di rilevare in tempi brevi la non conformità della nomina e ha contribuito al perpetuarsi della violazione.
Per approfondire > Il Data Protection Officer (DPO) in breve e il servizio DPO di GDPRlab
Mancate politiche di gestione dei dati raccolti
L’azienda ha anche trascurato la gestione dei dati, non predisponendo politiche adeguate di conservazione dei dati personali dei clienti, che dovrebbero stabilire i termini di conservazione in relazione alle finalità del trattamento e i criteri per la cancellazione dei dati non più necessari.
L’art 5 del GDPR, infatti, prevede che i dati personali siano conservabili solo
“per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.
Questa limitazione ha lo scopo di evitare la conservazione e il trattamento dei dati in tempi sproporzionati e non necessari al raggiungimento della finalità del trattamento dei dati stessi. Oltre alla tutela del diritto alla privacy, la limitazione della conservazione dei dati ha valore, anche, di misura di protezione dei dati stessi (riduzione del rischio).
La società, oltre ad aver mantenuto fascicoli e record digitali di clienti senza più rapporti contrattuali, non ha separato correttamente i dati tra le diverse società, creando confusione e vulnerabilità nella gestione delle informazioni. Ha quindi violato il principio di “limitazione della conservazione”.
L’omessa nomina dei fornitori
Infine, la società non ha disciplinato adeguatamente i rapporti con i fornitori, omettendo di stipulare contratti conformi all’Art. 28 del GDPR. La società, nello specifico, ha utilizzato una lettera di incarico generica, priva di dettagli su compiti, obblighi e misure di protezione dei dati. Secondo la normativa, sarebbe stato necessario stipulare un contratto o un altro atto giuridico che vincolasse i fornitori e chiarisse le finalità, la durata del trattamento, le categorie di dati e gli obblighi. La mancata adozione di un contratto specifico ha compromesso la sicurezza dei dati, violando il principio di accountability del GDPR.
Per approfondire > Il principio di Accountability nel GDPR e i documenti utili
Sanzione del Garante Privacy
Dopo aver prescritto le opportune misure correttive, il Garante della privacy ha deciso di sanzionare la società per 70.000 euro, tenendo conto della gravità, del numero, della durata delle violazioni e della condotta poco collaborativa.
Il provvedimento completo è disponibile qui.
