Le rôle de délégué à la protection des données (DPO) est totalement incompatible avec celui de représentant légal de l’entreprise auprès de laquelle il est désigné. Le gestionnaire doit être indépendant et effectuer également des tâches de supervision. C’est ce qu’a réitéré le Garant de la confidentialité , suite à un rapport de la Banque d’Italie, sanctionnant une société de réhabilitation de crédit pour de nombreuses violations en matière de protection des données.
Sur la base des informations acquises au cours de l’enquête, qui a également vu la collaboration de l’Unité spéciale de la Guardia di Finanza, il est apparu que la société, qui s’occupe principalement de l’annulation des rapports dans les centres de crédit gérés par les banques, détenait une base de données dans laquelle les données de plus de 70 mille personnes étaient enregistrées.
Les informations avaient été recueillies auprès de diverses entreprises qui dépendaient du représentant légal de l’entreprise et qui, au fil des années, avaient pris l’habitude de fournir les mêmes services aux clients. L’entreprise avait également désigné son représentant légal comme délégué à la protection des données, sans toutefois en avertir l’Autorité, sans considérer que les deux fonctions soient incompatibles entre elles.
De nombreuses violations du règlement ont également été constatées en ce qui concerne les mesures techniques et organisationnelles adoptées. Par exemple, aucune fonctionnalité du système d’information qui gérait la base de données de l’entreprise ne permettait d’identifier, pour chaque client, l’entreprise qui avait collecté les données personnelles ; En outre, les données ont été stockées sans discernement, sans fournir d’informations adéquates aux parties intéressées sur les transferts d’entreprise.
En outre, la Société n’avait jamais procédé, après la fin de la relation contractuelle, à la suppression de données qui n’étaient plus nécessaires et n’avait pas identifié de délais précis de conservation des données. Certains traitements ont été effectués, pour le compte de la société, par certains sujets – personnes physiques et morales – en l’absence d’un contrat régissant les relations.
Après avoir prescrit les mesures correctives appropriées, le Garant, malgré l’absence de précédents spécifiques, a sanctionné l’entreprise à hauteur de 70 000 euros, compte tenu de la gravité, du nombre, de la durée des violations et du comportement non coopératif.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10106920