Il ruolo di Responsabile della protezione dei dati (RDP) è del tutto incompatibile con quello di rappresentante legale della società presso la quale è designato. Il Responsabile deve essere indipendente e svolgere anche compiti di sorveglianza. È quanto ha ribadito il Garante privacy, a seguito di una segnalazione della Banca d’Italia, sanzionando una società di riabilitazione creditizia per numerose violazioni in materia di protezione dati.
In base agli elementi acquisiti nel corso dell’istruttoria, che ha visto anche la collaborazione del Nucleo Speciale della Guardia di Finanza, è risultato che la società, che si occupa principalmente di cancellazione delle segnalazioni nelle centrali creditizie operate dalle banche, deteneva un database nel quale venivano registrati i dati di oltre 70mila persone.
Le informazioni erano state raccolte dalle diverse aziende che facevano capo al legale rappresentante della società e che negli anni si erano avvicendate nella fornitura dei medesimi servizi alla clientela. La società inoltre aveva designato come Responsabile della protezione dei dati personali, senza peraltro darne comunicazione all’Autorità, il suo rappresentante legale, non considerando che le due cariche sono incompatibili l’una con l’altra.
Numerose anche le violazioni del Regolamento emerse in relazione alle misure tecniche e organizzative adottate. Nessuna funzionalità del sistema informativo che gestiva la banca dati aziendale, consentiva, a esempio, di individuare, rispetto a ciascun cliente, quale fosse la società che aveva raccolto i dati personali; i dati, inoltre, erano conservati in maniera indifferenziata senza aver fornito un’adeguata informazione agli interessati sui passaggi societari.
L’Azienda, peraltro, non aveva mai provveduto, dopo la cessazione del rapporto contrattuale, alla cancellazione dei dati non più necessari e non aveva individuato precise tempistiche di conservazione dei dati. Taluni trattamenti erano effettuati, per conto della società, da alcuni soggetti – persone fisiche e giuridiche – in assenza di un contratto che ne disciplinasse i rapporti.
Dopo aver prescritto le opportune misure correttive, il Garante, pur in assenza di precedenti specifici, ha sanzionato la società per 70.000 euro, tenendo conto della gravità, del numero, della durata delle violazioni e della condotta poco collaborativa.
