Il Garante Privacy, con provvedimento n. 802 del 19 dicembre 2024, ha sanzionato una società di riabilitazione creditizia per diverse violazioni in materia di protezione dei dati personali, con specifico riferimento alla nomina del Responsabile della protezione dei dati personali (DPO), nonché alla corretta raccolta, conservazione e cancellazione dei dati personali di persone fisiche e giuridiche.
La società, in particolare, aveva designato come DPO, senza inoltre darne comunicazione all’Autorità, il suo rappresentante legale, non considerando che le due cariche sono incompatibili l’una con l’altra
Il ruolo di Responsabile della protezione dei dati personali (DPO) è infatti incompatibile con quello di rappresentante legale della società presso la quale è designato, in quanto il medesimo soggetto che determina i mezzi e le finalità dei trattamenti, non può avere la necessaria indipendenza per esercitare anche i compiti di sorveglianza, sull’osservanza della disciplina e sulle politiche del titolare in materia di protezione dei dati personali, previsti dall’art. 39, par. 1, lett. b), del GDPR.
Ciò trova conferma, per il Garante, altresì nell’art. 38 del GDPR, con riferimento alla posizione del responsabile della protezione dati, per cui il titolare e il responsabile del trattamento si assicurano che il DPO non riceva alcuna istruzione, per quanto riguarda l’esecuzione dei propri compiti, e riferisce direttamente al vertice gerarchico del titolare o del responsabile del trattamento.
La valutazione circa l’incompatibilità connesse allo svolgimento di incarichi che comportano poteri decisionali sui trattamenti di dati personali, avrebbe dovuto comportare l’impossibilità del perfezionamento della designazione che, anche ove effettuata, risulta comunque nulla.
Inoltre, il Garante ha riscontrato le seguenti ulteriori violazioni al GDPR:
- la violazione del principio di “lealtà, correttezza e trasparenza” di cui all’art. 5, par. 1, lett. a) e dell’art. 14 del GDPR: nessuna funzionalità del sistema informativo che gestiva la banca dati aziendale consentiva di individuare, rispetto a ciascun cliente, quale fosse la società che aveva raccolto i dati personali; i dati, inoltre, erano conservati in maniera indifferenziata senza aver fornito un’adeguata informazione agli interessati sui passaggi societari. Il Garante ricorda in proposito:
- che il principio di trasparenza si traduce nell’obbligo, da parte del titolare del trattamento, di fornire all’interessato tutte le informazioni inerenti al trattamento dei dati personali che lo riguardano, in modo accessibile e comprensibile, rendendolo edotto, nel momento i cui i dati personali sono ottenuti, anche delle finalità e delle modalità del trattamento e della base giuridica dello stesso, nonché di tutte le ulteriori informazioni necessarie per garantire che il trattamento sia corretto e trasparente nel rispetto di quanto previsto dagli artt. 13 e 14 del GDPR
- che l’art. 14, del GDPR dispone inoltre che, nel caso in cui i dati personali “non siano ottenuti presso l’interessato”, il titolare del trattamento è tenuto a fornire allo stesso le informazioni cui ai paragrafi 1 e 2 entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, ovvero, nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato; oppure nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.
- la violazione del principio di “limitazione della conservazione” di cui all’art. 5, par. 1 lett. e) GDPR, secondo cui i dati personali devono essere conservati in modo da consentire l’identificazione dell’interessato per un arco di tempo non superiore a quello necessario a conseguire le finalità del trattamento: la società, in particolare, non aveva mai provveduto, dopo la cessazione del rapporto contrattuale, alla cancellazione dei dati non più necessari e non aveva individuato precise tempistiche di conservazione dei dati personali trattati, sia con riferimento a coloro che, sottoscrivendo un contratto di mandato, si erano avvalsi dei servizi della società, sia con riferimento a quelli che avevano solo richiesto informazioni, senza poi instaurare alcun rapporto contrattuale.
- la violazione dell’art. 28 del GDPR, per cui l’esecuzione dei trattamenti, da parte di un responsabile del trattamento, dovrebbe essere disciplinata da un contratto che vincoli il responsabile del trattamento, al titolare del trattamento e in cui siano specificati la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento: nel caso di specie, in sede di ispezione, era invece emerso che il titolare del trattamento si era avvalso della collaborazione di alcuni soggetti in assenza dei presupposti previsti dall’art. 28 del GDPR, ovvero senza alcun contratto, ma sulla base di una “lettera di incarico” priva però di un alcun reale ed effettivo contenuto, che si limitava a riportare formule astratte, prese per lo più dalle disposizioni del GDPR, senza individuare, in modo specifico, i compiti, gli obblighi e gli ambiti di competenza di ciascun responsabile.
