fbpx

Titolo

Autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et dolore feugait

Privacy-GDPR

Privacy-GDPR: multa da 70.000€ a una società per gravi violazioni! Il Garante boccia il doppio ruolo di DPO e legale rappresentante (Provv. Garante del 12.12.24)

Il Garante per la privacy ha sanzionato una società per gravi irregolarità nella gestione dei dati, evidenziando l’incompatibilità tra il ruolo di Responsabile della Protezione dei Dati (DPO) e quello di legale rappresentante

Il Garante per la protezione dei dati personali con provvedimento del 12.12.2024, ha ribadito che il ruolo di Responsabile della protezione dei dati (RPD) non può essere ricoperto dal rappresentante legale della stessa società in cui opera. Questa figura deve garantire indipendenza e svolgere funzioni di controllo. L’Autorità ha così sanzionato una società di riabilitazione creditizia per diverse irregolarità in materia di protezione dei dati, a seguito di una segnalazione della Banca d’Italia.

L’indagine, condotta con il supporto della Guardia di Finanza, ha rivelato che la società gestiva un database contenente i dati personali di oltre 70.000 individui. Queste informazioni erano state raccolte nel tempo dalle varie aziende riconducibili al rappresentante legale, che si erano succedute nella prestazione degli stessi servizi. Inoltre, la società aveva nominato come Responsabile della protezione dei dati il proprio legale rappresentante, senza comunicarlo al Garante, nonostante l’incompatibilità tra i due ruoli.

L’istruttoria ha evidenziato anche numerose carenze nelle misure tecniche e organizzative. Il sistema informatico utilizzato non permetteva di stabilire quale società avesse originariamente raccolto i dati personali di ogni cliente, e le informazioni erano archiviate senza alcuna distinzione, senza che gli interessati fossero adeguatamente informati sui cambiamenti societari.

Un’altra grave mancanza riguardava la conservazione dei dati: la società non eliminava quelli non più necessari al termine del rapporto contrattuale e non aveva definito tempi precisi per la loro conservazione. Inoltre, alcune attività di trattamento dati erano affidate a terzi – sia persone fisiche che giuridiche – senza che vi fosse un contratto che regolasse tali rapporti.

Dopo aver imposto misure correttive per sanare le violazioni, il Garante ha inflitto una sanzione di 70.000 euro alla società. Pur non essendoci precedenti specifici, la multa è stata determinata dalla gravità e dal numero delle infrazioni, dalla loro durata e dall’atteggiamento poco collaborativo dell’azienda.

(Fonte: www.garanteprivacy.it)

Condividi l'articolo su:
Studio Legale Calvello