Il Garante della Privacy ha ribadito che il ruolo di Responsabile della protezione dei dati (DPO) è incompatibile con quello di rappresentante legale della società. Il DPO deve essere indipendente, svolgendo funzioni di supporto, controllo e sorveglianza sull’applicazione della normativa sulla protezione dei dati.
Una società di riabilitazione creditizia è stata sanzionata per aver designato il proprio rappresentante legale come DPO, in violazione del Regolamento Europeo (GDPR). La società deteneva un database con dati di oltre 70.000 persone, raccolti da diverse aziende collegate. Sono state riscontrate numerose violazioni del GDPR, tra cui la mancanza di misure tecniche e organizzative adeguate, la conservazione indifferenziata dei dati e l’assenza di contratti con i soggetti che effettuavano trattamenti per conto della società.
Il Garante della Privacy ha sanzionato la società con una multa di 70.000 euro, tenendo conto della gravità e della durata delle violazioni, nonché della condotta poco collaborativa. Il garante ha anche prescritto le opportune misure correttive.
Il Data Protection Officer deve infatti essere un soggetto designato dal titolare (o dal responsabile del trattamento) per assolvere, nei confronti dello stesso, a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione della normativa di protezione dei dati personali, in piena indipendenza e autonomia, in assenza di conflitti di interessi e senza ricevere istruzioni in ordine all’esecuzione dei suoi compiti, sui quali riferisce direttamente al vertice gerarchico del titolare.
La decisione del Garante sottolinea l’importanza dell’indipendenza del DPO e la necessità di rispettare le normative sulla protezione dei dati, evidenziando le gravi conseguenze della mancata osservanza.
