Sanzione del Garante Privacy per Nomina Inappropriata del DPO: Un Caso Esemplare
Recentemente, il Garante per la protezione dei dati personali ha sanzionato una società operante nel settore della riabilitazione creditizia per aver nominato come Responsabile della Protezione dei Dati (Data Protection Officer, DPO) il proprio rappresentante legale, configurando un evidente conflitto di interessi.
Il Regolamento Generale sulla Protezione dei Dati (GDPR) stabilisce che il DPO deve operare in maniera indipendente e senza conflitti di interesse. Nello specifico, l’articolo 38 del GDPR prevede:
- Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.
- Il titolare del trattamento e il responsabile del trattamento forniscono al responsabile della protezione dei dati le risorse necessarie per assolvere ai suoi compiti, nonché l’accesso ai dati personali e alle operazioni di trattamento, e per mantenere la sua conoscenza specialistica.
- Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.
- Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei diritti derivanti dal presente regolamento.
- Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all’adempimento dei suoi compiti, conformemente al diritto dell’Unione o degli Stati membri.
- Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento garantisce che tali compiti e funzioni non diano adito a un conflitto di interessi.
La nomina del rappresentante legale della società come DPO è stata ritenuta inappropriata poiché le due cariche sono incompatibili. Il rappresentante legale, infatti, prende decisioni operative che il DPO dovrebbe monitorare in modo indipendente. Questo conflitto compromette l’efficacia del controllo sulla conformità alle normative sulla protezione dei dati.
Questo caso evidenzia l’importanza di designare un DPO che possa operare senza influenze indebite, garantendo così una corretta gestione dei dati personali e la conformità alle normative vigenti.
Perché non nominare DPO il Dott. Michele Magri?
Per evitare sanzioni e garantire un’efficace gestione della privacy aziendale, affidatevi a un professionista esperto come il Dott. Michele Magri. Con la sua esperienza pluriennale nel settore della protezione dei dati e la conoscenza approfondita delle normative GDPR, il Dott. Magri vi supporterà nelle attività previste dal regolamento europeo, assicurando trasparenza e conformità normativa.