Home

Internal

Global

Contatto

Rödl & Partner Italia e Studio Gottardo per la partnership tra Officine MTM S.p.A. e Gruppo Dawang Metals |

In tutto il mondo

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.

Garante Privacy: ruolo del DPO è del tutto incompatibile con quello di rappresentante legale della società

Ultimo aggiornamento del 26.03.2025 | Tempo di lettura ca. 4 minuti

Der Text ist auch auf Deutsch verfügbar »

Con provvedimento del 19 dicembre 2024, il Garante per la protezione dei dati personali (“Garante”) ha emesso un provvedimento sanzionatorio nei confronti di una società di riabilitazione creditizia (“Società”), per 70mila euro.

Il procedimento trae origine da una segnalazione della Banca d'Italia, che ha rilevato anomalie nelle richieste di accesso ai dati della Centrale Rischi effettuate dalla Società.

L’indagine ha avuto inizio il 13 giugno 2023 con un accertamento ispettivo presso la sede dell’anzidetta Società. In particolare, secondo quanto emerso, il rappresentante legale della Società, senza un’adeguata legittimazione, avrebbe effettuato numerose richieste di accesso ai dati della Centrale Rischi per conto di persone fisiche. Questo ha sollevato preoccupazioni circa un possibile utilizzo improprio di dati finanziari sensibili.

L’analisi del Garante ha messo in luce gravi carenze nella gestione dei dati personali da parte della Società. Dall’istruttoria è infatti emerso che la Società raccoglieva dati personali dei clienti attraverso il proprio sito web, senza fornire un’adeguata informativa agli interessati, in violazione dell’art. 14 del GDPR.

Inoltre, la conservazione dei dati era gestita in modo irregolare: le informazioni personali di oltre 70.000 clienti erano archiviate in un database centralizzato, senza una chiara definizione dei tempi di conservazione e senza un sistema di cancellazione periodica. Questo ha portato alla violazione del principio di limitazione della conservazione previsto dall’art. 5 del GDPR.

Un altro aspetto rilevante dell’indagine ha riguardato i rapporti tra la Società e i soggetti terzi coinvolti nel trattamento dei dati. È stato accertato che diversi consulenti e collaboratori trattavano i dati per conto della Società senza essere formalmente nominati responsabili del trattamento, come richiesto dall’art. 28 del GDPR. I contratti esistenti erano generici e privi di indicazioni specifiche sui ruoli e le responsabilità dei soggetti coinvolti.

Infine, è stato rilevato un grave conflitto di interessi nella nomina del Responsabile della Protezione dei Dati (RPD o anche “DPO”): la Società aveva designato come DPO il proprio rappresentante legale, in violazione dell’art. 38 del GDPR, che impone l’indipendenza di tale figura. Inoltre, la società non aveva comunicato la designazione del DPO all’Autorità Garante, come invece richiesto dall’art. 37.

Tanto premesso, il Garante privacy ha così ribadito l’importanza del rispetto dei principi fondamentali della protezione dei dati personali, in particolare il principio di trasparenza e correttezza nel trattamento. Secondo l’art. 5 del GDPR, i dati personali devono essere trattati in modo lecito e trasparente, mentre l’art. 14 impone al titolare del trattamento di fornire agli interessati informazioni chiare sul trattamento dei loro dati.

Il provvedimento ha altresì sottolineato la necessità di una corretta gestione dei rapporti tra titolare e responsabili del trattamento, imponendo l’obbligo di stipulare contratti chiari che disciplinino le attività svolte dai soggetti esterni.

Ma soprattutto, il provvedimento ha inteso evidenziare come la corretta designazione del DPO assuma un ruolo cruciale: il responsabile deve essere una figura indipendente e non in conflitto di interessi con il ruolo di rappresentante legale della società.

Pertanto, alla luce di queste violazioni, il Garante ha dichiarato illecito il trattamento dei dati effettuato dalla Società, comminando una sanzione di 70.000 euro. Inoltre, lo stesso ha imposto una serie di misure correttive alla Società per conformarsi alla normativa privacy.

In particolare, ha ordinato:

La predisposizione di una procedura chiara per la conservazione dei dati personali, definendo tempi certi per la cancellazione dei dati non più necessari.
La cancellazione immediata dei dati personali dei clienti che non hanno usufruito dei servizi della società e la cancellazione dei dati conservati oltre i limiti di legge.
La stipula di contratti (o di altri atti giuridici adeguati) con tutti i soggetti terzi che trattano dati per conto della società, conformemente all’art. 28 del GDPR, specificando chiaramente ruoli e responsabilità.
La nomina di un Responsabile della Protezione dei Dati indipendente e conforme ai requisiti di legge, in sostituzione della figura attualmente in conflitto di interessi, nonché la comunicazione formale al Garante della designazione del nuovo RPD e delle misure adottate per conformarsi alla normativa vigente.

Muovendo dal provvedimento del Garante, va dunque rammentato che la designazione di un DPO deve essere improntata a criteri di indipendenza, competenza e capacità di gestione della protezione dei dati.

Per individuare il candidato ideale, è utile condurre un assessment della funzione di DPO, valutando:

Le competenze specifiche richieste dal ruolo;
L’esperienza pregressa in materia di protezione dei dati;
Le certificazioni ottenute, come:

Certificazione UNI 11697/2017 (Privacy Manager/Privacy Specialist)
Certificazione Privacy Officer (ISO/IEC 17024);
CIPP/E (Certified Information Privacy Professional/Europe);
CIPM (Certified Information Privacy Manager);
Certificazioni sulla sicurezza delle informazioni (es. ISO/IEC 27001).

Inoltre, il DPO dovrebbe mantenere aggiornate le sue competenze attraverso una formazione continua, poiché la normativa sulla protezione dei dati è in costante evoluzione.

La scelta di un DPO non può essere improvvisata: un’analisi attenta delle esigenze aziendali e delle capacità del professionista è essenziale per garantire la conformità al GDPR e una gestione efficace della privacy aziendale.