El rol del Delegado de Protección de Datos (DPD) es completamente incompatible con el de representante legal de la empresa en la que es designado. El Gerente deberá ser independiente y además ejercer funciones de supervisión. Así lo reafirma el Garante de la Privacidad , tras un informe del Banco de Italia, que sanciona a una empresa de rehabilitación crediticia por numerosas violaciones en materia de protección de datos.

Según la información obtenida durante la investigación, en la que también colaboró ​​la Unidad Especial de la Guardia di Finanza, surgió que la empresa, que se ocupa principalmente de la cancelación de informes en centros de crédito operados por bancos, mantenía una base de datos en la que estaban registrados los datos de más de 70 mil personas.

La información había sido recabada de varias empresas que reportaban al representante legal de la empresa y que a lo largo de los años se habían turnado en la prestación de los mismos servicios a los clientes. La empresa también había designado a su representante legal como Delegado de Protección de Datos, sin notificarlo a la Autoridad, sin considerar que ambos cargos son incompatibles entre sí.

También se produjeron numerosas infracciones del Reglamento en relación con las medidas técnicas y organizativas adoptadas. Por ejemplo, ninguna funcionalidad del sistema de información que gestionaba la base de datos de la empresa permitía identificar, respecto de cada cliente, la empresa que había recogido los datos personales; Además, los datos fueron almacenados de forma indiscriminada sin proporcionar información adecuada a los interesados ​​sobre las transferencias corporativas.

Además, la Sociedad nunca había procedido, tras la terminación de la relación contractual, a la supresión de los datos que ya no eran necesarios y no había identificado plazos precisos para la conservación de los mismos. Ciertos tratamientos fueron efectuados, por cuenta de la empresa, por determinados sujetos – personas físicas y jurídicas – en ausencia de un contrato que regulara las relaciones.

Tras haber prescrito las medidas correctoras oportunas, el Garante, a pesar de la ausencia de precedentes específicos, sancionó a la empresa con 70.000 euros, teniendo en cuenta la gravedad, número, duración de las infracciones y la conducta no cooperativa.

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10106920