Die Rolle des Datenschutzbeauftragten (DSB) ist völlig unvereinbar mit der Rolle des gesetzlichen Vertreters des Unternehmens, für das er oder sie ernannt wurde. Der Geschäftsführer muss unabhängig sein und auch Aufsichtsaufgaben wahrnehmen. Dies bekräftigte der Datenschutzbeauftragte nach einem Bericht der Bank von Italien, in dem ein Kreditsanierungsunternehmen wegen zahlreicher Verstöße gegen den Datenschutz sanktioniert wurde.
Aus den im Laufe der Ermittlungen, bei denen auch die Spezialeinheit der Guardia di Finanza mitwirkte, gewonnenen Informationen ging hervor, dass das Unternehmen, das sich hauptsächlich mit der Löschung von Kreditauskünften bei Kreditzentren der Banken befasst, über eine Datenbank verfügte, in der die Daten von über 70.000 Personen erfasst waren.
Die Informationen wurden von verschiedenen Unternehmen eingeholt, die dem gesetzlichen Vertreter des Unternehmens unterstellt waren und im Laufe der Jahre abwechselnd die gleichen Dienstleistungen für die Kunden erbracht hatten. Das Unternehmen hatte seinen gesetzlichen Vertreter auch zum Datenschutzbeauftragten ernannt, dies jedoch der Behörde nicht mitgeteilt und ohne zu berücksichtigen, dass die beiden Positionen miteinander unvereinbar sind.
Auch im Hinblick auf die getroffenen technischen und organisatorischen Maßnahmen zeigten sich zahlreiche Verstöße gegen die Verordnung. Beispielsweise erlaubte keine Funktion des Informationssystems, das die Unternehmensdatenbank verwaltete, für jeden einzelnen Kunden die Identifizierung des Unternehmens, das die personenbezogenen Daten erhoben hatte. Darüber hinaus wurden die Daten wahllos gespeichert, ohne dass den Betroffenen ausreichende Informationen über die Unternehmensübertragungen zur Verfügung gestellt wurden.
Darüber hinaus habe das Unternehmen nach Beendigung des Vertragsverhältnisses nie die Löschung nicht mehr benötigter Daten veranlasst und keine genauen Zeitrahmen für die Aufbewahrung der Daten festgelegt. Bestimmte Behandlungen wurden im Auftrag des Unternehmens von bestimmten Subjekten – natürlichen und juristischen Personen – durchgeführt, ohne dass ein Vertrag bestand, der die Beziehungen regelte.
Nachdem der Garant die entsprechenden Korrekturmaßnahmen angeordnet hatte, verhängte er trotz des Fehlens konkreter Präzedenzfälle eine Sanktion in Höhe von 70.000 Euro gegen das Unternehmen, wobei er die Schwere, Anzahl und Dauer der Verstöße sowie das unkooperative Verhalten berücksichtigte.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10106920