Il Garante per la protezione dei dati personali ha sanzionato una società di riabilitazione creditizia per diverse violazioni del Regolamento generale sulla protezione dei dati (GDPR), sottolineando l’incompatibilità tra il ruolo di Responsabile della protezione dei dati (RPD) e quello di rappresentante legale della stessa società. Ecco i punti chiave:
Incompatibilità dei ruoli:
- Il Garante ha ribadito che il ruolo di RPD richiede indipendenza e compiti di sorveglianza, incompatibili con la figura del rappresentante legale.
Violazioni riscontrate:
- La società deteneva un database con i dati di oltre 70.000 persone, raccolti da diverse aziende riconducibili al rappresentante legale.
- Il rappresentante legale era stato designato come RPD, senza comunicazione all’Autorità.
- Mancanza di misure tecniche e organizzative adeguate per la gestione dei dati.
- Conservazione indifferenziata dei dati, senza informare gli interessati sui passaggi societari.
- Mancata cancellazione dei dati non più necessari dopo la cessazione dei rapporti contrattuali.
- Trattamento dei dati da parte di terzi senza un contratto che ne disciplinasse i rapporti.
Sanzioni e provvedimenti:
- Il Garante ha imposto una sanzione di 70.000 euro, considerando la gravità, il numero e la durata delle violazioni, nonché la scarsa collaborazione della società.
- Sono state prescritte le opportune misure correttive.
La decisione del Garante sottolinea l’importanza dell’indipendenza del RPD e la necessità di una gestione corretta e trasparente dei dati personali. Le aziende devono garantire la conformità al GDPR, adottando misure tecniche e organizzative adeguate e nominando un RPD indipendente.
