Il Garante per la protezione dei dati personali – con provvedimento 10106904 del 19 dicembre 2024 – ha comminato una sanzione amministrativa di 70.000 euro ad una società operante nel settore della riabilitazione creditizia, per una serie di violazioni del GDPR. L’attività di controllo, originata da una segnalazione della Banca d’Italia, ha portato alla luce diverse irregolarità nel trattamento dei dati personali, tra cui la nomina del Responsabile della Protezione dei Dati (DPO) in pieno conflitto di interessi e gravi carenze nella gestione delle informazioni personali dei clienti.
Le principali violazioni accertate
1. Nomina del DPO in conflitto di interessi
Una delle violazioni più rilevanti riguarda la nomina del DPO, figura centrale per la supervisione della conformità al GDPR. Nel caso specifico, il DPO designato era lo stesso rappresentante legale della società, circostanza che comprometteva la sua indipendenza e quindi la sua efficacia. Il Garante ha evidenziato come il ruolo di DPO sia incompatibile con quello di soggetto che determina i mezzi e le finalità del trattamento, in quanto ciò impedisce di esercitare un controllo imparziale e autonomo sulle attività di trattamento dei dati personali.
Il GDPR, infatti, prevede all’art. 38 che il DPO non debba ricevere istruzioni in merito all’esecuzione dei propri compiti e debba riferire direttamente al vertice gerarchico del titolare del trattamento. La scelta della società, quindi, ha violato il principio di indipendenza della funzione del DPO, risultando in una sanzione per violazione degli artt. 37 e 38 del GDPR.
Inoltre, dalle indagini ispettive svolte tramite il Nucleo Privacy della Guardia di Finanza, è anche emerso che il ruolo RPD – nominato su base volontaria – non era stato notificato alla Autorità di Controllo con la prevista procedura online.
2. Conservazione illecita dei dati personali
Nelle attività ispettive è emerso che la società deteneva nel proprio database oltre 74.000 posizioni di clienti, “convogliati anche dai dati personali la cui titolarità era delle diverse società che negli anni si sono succedute nell’esercizio dei medesimi servizi”. Tuttavia, non era presente alcuna funzionalità nel CRM che consentisse di risalire all’entità responsabile della raccolta dei dati personali, rendendo impossibile garantire la trasparenza e la corretta informazione agli interessati.
Inoltre, si è evidenziato che la società non aveva predisposto una procedura per la cancellazione periodica dei dati personali, conservando informazioni anche di utenti che non avevano mai instaurato un rapporto contrattuale. Questo ha determinato la violazione del principio di limitazione della conservazione (art. 5, par. 1, lett. e, GDPR).
3. Informative carenti e mancata trasparenza
Il Garante ha riscontrato che gli utenti non venivano adeguatamente informati sul trattamento dei propri dati personali, specialmente nei casi in cui i dati erano stati raccolti da altre società e successivamente trasferiti nel database della società sanzionata.
L’art. 14 del GDPR impone che, quando i dati personali non vengono ottenuti direttamente dall’interessato, il titolare debba fornire informazioni dettagliate sulle finalità e modalità del trattamento entro un termine ragionevole. Tuttavia, la società di riabilitazione creditizia non era in grado di dimostrare di aver adempiuto a tale obbligo, violando così il principio di trasparenza (art. 5, par. 1, lett. a, GDPR).
4. Mancata regolamentazione dei rapporti con i Responsabili dei Trattamenti
La società si avvaleva di diversi soggetti esterni per la gestione e il trattamento dei dati personali, tra cui società controllate e professionisti esterni. Tuttavia, i rapporti con questi soggetti non erano stati formalizzati attraverso adeguati contratti di nomina a responsabile del trattamento ai sensi dell’art. 28 del GDPR.
Il Garante ha sottolineato che il titolare del trattamento è tenuto a stipulare contratti vincolanti con i responsabili esterni, al fine di garantire che i trattamenti avvengano nel rispetto delle norme di protezione dei dati personali. L’assenza di tali accordi ha esposto i dati personali degli interessati a rischi di trattamento non autorizzato o non conforme alle disposizioni del GDPR.
5. Mancata risposta alle richieste del Garante
Un ulteriore elemento che ha aggravato la posizione della società è stata la mancata collaborazione con l’Autorità, che ha dovuto ricorrere al Nucleo Privacy della Guardia di Finanza per ottenere le informazioni richieste. La società, infatti, non aveva risposto a una richiesta di chiarimenti avanzata dal Garante ai sensi dell’art. 157 del Codice Privacy, violando così un obbligo fondamentale per la trasparenza delle attività ispettive.
Conclusioni
Il caso sanzionato rappresenta un esempio emblematico di come un’inadeguata compliance dataprotection possa condurre a sanzioni significative.
Riassumendo, le principali criticità riscontrate sono state:
- La nomina del DPO, che deve garantire indipendenza e assenza di conflitti di interessi.
- La minimizzazione dei dati, che richiede la cancellazione dei dati personali qualora essi non siano più necessari, come nel caso dei soggetti che hanno chiesto un preventivo o informazioni ma non siano divenuti clienti.
- I tempi di conservazione dei dati devono essere chiaramente definiti e rispettati.
- L’informativa agli interessati deve essere chiara e completa, specialmente quando i dati non sono raccolti direttamente dall’interessato.
- I rapporti con i vari responsabili del trattamento devono essere formalizzati tramite contratti idonei o atti giuridicamente vincolanti.
- La collaborazione alle richieste pervenute dalla Autorità di Controllo è essenziale per evitare ulteriori aggravi procedurali e sanzioni.