Il ruolo di Responsabile della protezione dei dati (DPO) è incompatibile con quello di rappresentante legale della società presso la quale è designato. Il responsabile deve essere indipendente e svolgere anche compiti di sorveglianza. Lo ribadisce il Garante della Privacy nella newsletter dello scorso 28 febbraio. A seguito di una segnalazione della Banca d’Italia, l’Autorità irrogava una sanzione di 70mila euro a una società di riabilitazione creditizia per numerose violazioni in materia di protezione dati. La società, attiva nella cancellazione delle segnalazioni nelle centrali creditizie operate dalle banche, in base alle risultanze raccolte, deteneva un database nel quale venivano registrati i dati di oltre 70mila persone, “conservati in maniera indifferenziata” e aveva designato come responsabile della protezione dei dati personali, senza darne comunicazione all’Autorità, il suo rappresentante legale. Ma – questo è ciò che sottolinea il Garante – le due cariche sono incompatibili. L’Azienda, peraltro, non aveva mai provveduto, dopo la cessazione del rapporto contrattuale, a cancellare i dati non più necessari e non aveva individuato precise tempistiche di conservazione dei dati. Trattamenti che erano effettuati, per conto della società, da alcuni soggetti - persone fisiche e giuridiche – in assenza di un contratto che ne disciplinasse i rapporti.
Notizie correlate: Accesso mail dipendenti: come bilanciare gli interessi datoriali e la privacy dei lavoratori - Garante Privacy, stop ai controlli sull’email del dipendente- IA: ok del Garante Privacy al DDL ma con le dovute cautele