Ruolo incompatibile con quello di rappresentante legale della società
Società di riabilitazione creditizia sanzionata con una multa. Necessario garantire l’indipendenza del ‘responsabile protezione dati’
Il ruolo di ‘Responsabile della protezione dei dati’ è del tutto incompatibile con quello di rappresentante legale della società presso cui è designato. Ciò perché il responsabile deve essere indipendente e svolgere anche compiti di sorveglianza. Questi i punti fermi ribaditi dal ‘Garante per la privacy’, che, a seguito di una segnalazione della Banca d’Italia, ha sanzionato (provvedimento del 19 dicembre 2024) – con una multa di 70mila euro – una società di riabilitazione creditizia, resasi colpevole di numerose violazioni in materia di protezione dati. In base agli elementi acquisiti nel corso dell’istruttoria, che ha visto anche la collaborazione del Nucleo Speciale della Guardia di Finanza, è risultato che la società, che si occupa principalmente di cancellazione delle segnalazioni nelle centrali creditizie operate dalle banche, deteneva un database in cui venivano registrati i dati di oltre settantamila persone. Tali informazioni erano state raccolte dalle diverse aziende che facevano capo al legale rappresentante della società e che negli anni si erano avvicendate nella fornitura dei medesimi servizi alla clientela. Inoltre, la società aveva designato come ‘Responsabile della protezione dei dati personali’, senza peraltro darne comunicazione al ‘Garante’, il suo rappresentante legale, non considerando che le due cariche sono incompatibili l’una con l’altra. Numerose, poi, anche le violazioni emerse in relazione alle misure tecniche e organizzative adottate. Nessuna funzionalità del sistema informativo che gestiva la ‘banca dati’ aziendale, consentiva, ad esempio, di individuare, rispetto a ciascun cliente, quale fosse la società che aveva raccolto i dati personali, e i dati erano conservati in maniera indifferenziata, senza aver fornito un’adeguata informazione ai soggetti sui passaggi societari. Infine, la società non aveva mai provveduto, dopo la cessazione del rapporto contrattuale, alla cancellazione dei dati non più necessari e non aveva individuato precise tempistiche di conservazione degli stessi dati. Addirittura, taluni trattamenti erano effettuati, per conto della società, da alcuni soggetti – persone fisiche e giuridiche – in assenza di un contratto che ne disciplinasse i rapporti.