Il Garante per la protezione dei dati personali ha sanzionato per 70.000 euro una società che si occupa della cancellazione delle segnalazioni nelle centrali creditizie operate dalle banche per aver nominato come responsabile della protezione dei dati il proprio rappresentante legale e per non aver attuato misure tecniche e organizzative adeguate al rischio: un provvedimento con cui l’Autorità ribadisce il ruolo indipendente del DPO.
Contestualmente, è stata ordinata anche l’adozione di misure adeguate ad assicurare che il trattamento dei dati personali degli interessati avvenga nel pieno rispetto della normativa sulla protezione dei dati.
L’indagine è scaturita da una segnalazione ricevuta dalla Banca d’Italia che ha rilevato numerose richieste di accesso ai dati della Centrale rischi della Banca medesima, per conto di persone fisiche, in assenza di una effettiva legittimazione, con conseguente rischio di un utilizzo improprio di dati personali di carattere finanziario indebitamente acquisiti.
La società, infatti, aveva acquisito accessi e trattato i dati di oltre 70.000 soggetti, senza disporre di misure adeguate a garantire la protezione e la trasparenza nel trattamento dei dati degli stessi.
L’ispezione effettuata dal Garante ha evidenziato che la Società non solo non ha cancellato i dati non più necessari, ma non ha nemmeno implementato correttamente le misure previste dal Regolamento GDPR per la protezione dei dati.
Indice degli argomenti
Il ruolo indipendente del DPO
Una delle questioni più rilevanti emerse dal provvedimento riguarda la nomina del responsabile della protezione dei dati (DPO), figura centrale nella gestione della protezione dei dati personali, come previsto dal Regolamento (UE) 2016/679 (GDPR).
Proteggi la tua azienda: adegua la sicurezza alla direttiva NIS2 e difenditi dagli attacchi!
L’art. 37 del GDPR stabilisce che la nomina del DPO deve rispettare precisi criteri di indipendenza, responsabilità e competenza e che agisca in piena autonomia, senza conflitti di interesse, e che non debba trovarsi in una posizione che comprometta la sua imparzialità nell’assicurare la conformità alle normative di protezione dei dati.
In particolare, il DPO non può svolgere funzioni che possano entrare in conflitto con il suo ruolo.
La normativa precisa, inoltre, che il DPO deve essere in grado di esercitare i propri compiti senza subire influenze o pressioni da parte di organi aziendali, a maggior ragione quando il trattamento dei dati è svolto da un’azienda che ha un impatto significativo sulle libertà fondamentali degli individui.
Il GDPR stabilisce che la nomina di un DPO sia obbligatoria per le autorità pubbliche, le imprese che effettuano trattamenti di dati su larga scala o trattamenti che riguardano categorie particolari di dati o per attività di monitoraggio regolare e sistematico di individui su larga scala.
Tuttavia, il Regolamento consente anche la nomina volontaria di un DPO da parte di organizzazioni che non sono soggette a tale obbligo, ma che desiderano garantire un controllo più rigoroso sui trattamenti di dati e dimostrare il proprio impegno verso la protezione dei dati personali.
In ogni caso, sia che la nomina sia obbligatoria o volontaria, il DPO deve essere nominato in conformità con i principi di indipendenza, competenza e responsabilità sanciti dal GDPR sia che sia un soggetto esterno che un soggetto interno all’organizzazione.
La nomina volontaria, sebbene non obbligatoria, implica comunque che l’organizzazione si impegni a garantire che il DPO operi senza conflitti di interesse e abbia i mezzi necessari per adempiere efficacemente al suo ruolo.
Tuttavia, la società ha nominato come DPO il proprio rappresentante legale, una figura incompatibile con le funzioni di sorveglianza e controllo imposte dalla normativa.
Il Garante ha chiarito che un rappresentante legale che determina le finalità e i mezzi del trattamento dei dati non può, allo stesso tempo, vigilare sull’osservanza della normativa sulla protezione dei dati, in quanto ciò crea un conflitto di interessi evidente.
Inoltre, la società non ha rispettato l’obbligo di comunicare i dati del DPO all’Autorità di controllo. Tale omissione ha impedito al Garante di rilevare tempestivamente la non conformità della nomina e ha contribuito al perpetuarsi della violazione delle normative europee in materia di protezione dei dati.
In sintesi, la nomina del DPO da parte della società è stata effettuata in modo non conforme al GDPR, non rispettando il principio di indipendenza richiesto dalla normativa.
Questo ha comportato una violazione dei diritti degli interessati, nonché un’incapacità dell’azienda di garantire una protezione adeguata dei dati personali trattati, con ripercussioni significative sia per la sicurezza dei dati che per la credibilità dell’organizzazione.
Le (mancate) politiche di data retention
Gli approfondimenti ispettivi hanno evidenziato che la società non ha messo in atto politiche adeguate alla gestione dei dati raccolti.
In particolare, rileva il Garante, la società non ha predisposto ed efficacemente attuato una procedura aziendale in materia di conservazione dei dati personali dei clienti, che ne definisca i termini in relazione alle finalità dei trattamenti e i criteri per la loro cancellazione quando questi non sono più necessari, contravvenendo così al principio di “limitazione della conservazione” sancito dal GDPR.
Questo ha comportato il mantenimento di fascicoli e record digitali anche di clienti con cui la società non ha intrattenuto più alcun rapporto contrattuale, aumentando significativamente i rischi legati alla protezione dei dati personali.
Oltre a ciò, la gestione del CRM non ha garantito una chiara separazione dei dati tra le diverse società che, nel tempo, hanno raccolto i dati creando confusione e vulnerabilità, impedendo un controllo accurato sulla gestione delle informazioni.
L’omessa nomina dei fornitori
Il Garante per la protezione dei dati personali ha sanzionato la società per non aver disciplinato adeguatamente i rapporti con i fornitori attraverso un contratto conforme all’art. 28 del GDPR.
La società ha invece redatto una lettera di incarico generica, che non specificava chiaramente i compiti, gli obblighi o le misure di protezione dei dati.
In base alla normativa, sarebbe stato necessario stipulare un contratto o un altro atto giuridico che vincolasse i fornitori e chiarisse le finalità, la durata del trattamento, le categorie di dati trattati e gli obblighi di ciascuna parte.
La mancata adozione di tali misure ha compromesso la gestione sicura dei dati personali, contravvenendo al principio di “accountability” del GDPR.
Cosa impariamo sul ruolo indipendente del DPO
La gestione dei dati personali, soprattutto in contesti delicati come la cancellazione delle segnalazioni nelle centrali creditizie, richiede un impegno costante nell’applicazione delle misure previste dal GDPR.
La società esaminata ha mostrato carenze significative nella conservazione dei dati e nella protezione degli stessi, nonché una gestione inadeguata dei fornitori, con incarichi generici e privi di specificità.
Un altro aspetto critico ha riguardato la nomina del DPO, che non ha rispettato i requisiti di indipendenza previsti dal Regolamento.
Il Garante ha evidenziato come la nomina del rappresentante legale come DPO crei un conflitto di interessi, compromettendo l’efficacia del controllo sulla protezione dei dati.
La sanzione sottolinea l’importanza di garantire un adeguato sistema di controllo e la corretta regolamentazione dei rapporti con i fornitori, come richiesto dal principio di accountability del GDPR.
La società dovrà quindi rivedere le sue politiche di gestione dei dati e la nomina di un DPO che abbia quei requisiti di indipendenza ed imparzialità per allinearsi pienamente alla normativa sulla protezione dei dati personali.
Essere DPO nel 2025: quali sono le competenze e i requisiti necessari
