Con provvedimento n. 802 del 19 dicembre 2024, pubblicato nella newsletter del 28 febbraio, il Garante per la protezione dei dati personali ha accertato l’illiceità del trattamento dei dati personali da parte di una società specializzata nella riabilitazione creditizia. L’Autorità ha imposto una sanzione amministrativa pecuniaria di euro 70.000, unitamente all’adozione di una serie di misure correttive obbligatorie, rilevando una pluralità di violazioni del Regolamento (UE) 2016/679 e del Codice Privacy.
1. Contesto e presupposti dell’intervento
L’istruttoria trae origine da una segnalazione della Banca d’Italia, che ha evidenziato un’anomala attività di accesso alla Centrale dei rischi per conto di soggetti terzi, in assenza di un’effettiva legittimazione. L’istruttoria ha portato all’esecuzione di un accertamento ispettivo presso la sede della società, da cui sono emersi molteplici profili di non conformità alla disciplina in materia di protezione dei dati personali.
2. Violazioni accertate
2.1 Violazione dei principi di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a) GDPR)
La società trattava dati personali originariamente raccolti da altre società giuridicamente distinte, tutte riconducibili al medesimo amministratore, senza fornire agli interessati un’adeguata informativa, né documentare l’origine dei dati, in violazione dell’art. 14 GDPR.
2.2 Violazione del principio di limitazione della conservazione (art. 5, par. 1, lett. e) GDPR)
È stato accertato che non esisteva alcuna procedura sistematica di cancellazione dei dati personali, neppure per soggetti con cui non è mai stato instaurato un rapporto contrattuale. I dati venivano conservati sine die, sia in formato cartaceo che digitale, in evidente contrasto con quanto dichiarato nell’informativa agli interessati.
2.3 Irregolarità nella nomina dei responsabili del trattamento (art. 28 GDPR)
La società si avvaleva di soggetti terzi per trattamenti per suo conto senza stipulare contratti conformi al GDPR, bensì mediante generiche lettere di incarico prive degli elementi essenziali richiesti dal Regolamento.
2.4 Illegittima designazione del Responsabile della Protezione dei Dati (artt. 37 e 38 GDPR)
La designazione del rappresentante legale della società quale DPO risulta in palese conflitto d’interessi, stante l’incompatibilità tra funzioni di controllo e poteri decisionali sul trattamento. Tra l’altro, poi, tale nomina non è stata nemmeno comunicata al Garante, come richiesto dall’art. 37, par. 7 del GDPR.
2.5 Violazione del principio di responsabilizzazione (artt. 5, par. 2 e 24 GDPR)
L’insieme delle condotte evidenzia una totale assenza di misure organizzative e tecniche adeguate per garantire e dimostrare la conformità del trattamento, violando così il principio di accountability.
2.6 Inottemperanza alle richieste del Garante (art. 157 Codice Privacy)
La società ha omesso di fornire riscontro alle richieste istruttorie dell’Autorità, rendendo necessario l’intervento del Nucleo Speciale Privacy della Guardia di Finanza, con conseguente aggravio procedimentale.
3. Misure correttive e prescrizioni
Il Garante ha ordinato quindi alla società di:
- definire una policy interna sulla conservazione dei dati, specificando tempi e criteri di cancellazione;
- eliminare i dati personali non più necessari, in particolare quelli relativi a soggetti non clienti;
- regolarizzare i rapporti con i responsabili del trattamento mediante contratti conformi all’art. 28 GDPR;
- designare un D.P.O. idoneo, autonomo e privo di conflitti d’interesse;
- documentare entro 90 giorni le misure adottate, con esplicito avvertimento delle sanzioni in caso di inottemperanza.
4. La sanzione amministrativa
Ai sensi dell’art. 83, par. 5 del GDPR, il Garante ha irrogato una sanzione amministrativa di euro 70.000, ritenuta proporzionata, effettiva e dissuasiva, tenuto conto:
- della natura e gravità delle violazioni (principi fondamentali del trattamento, trasparenza, accountability);
- del numero elevato di interessati coinvolti (oltre 70.000);
- del carattere doloso e reiterato delle condotte;
- della mancanza di cooperazione con l’Autorità.
5. Conclusioni
Il provvedimento n. 802/2024 del Garante si colloca tra gli interventi più incisivi dell’ultimo periodo in tema di protezione dei dati personali. Esso costituisce un monito significativo per tutti i titolari del trattamento, specie nei settori ad alta densità di dati sensibili, sulla necessità di adottare misure conformi alla normativa europea e di garantire il rispetto dei diritti fondamentali degli interessati.
Maria Paola Caiazzo
Ultimi post di Maria Paola Caiazzo (vedi tutti)
- Sul requisito di indipendenza e sulla incompatibilità del D.P.O. - 3 Marzo 2025
- Intelligenza artificiale e Assicurazioni: il nuovo parere di EIOPA su Governance e Risk Management - 11 Febbraio 2025
- la nozione di “produttore” secondo la Corte di Giustizia UE - 20 Dicembre 2024
- La liquidazione del danno biologico cd. differenziale deve modellarsi sui criteri propri della causalità giuridica - 31 Luglio 2024
- La richiesta del terzo trasportato alla compagnia di assicurazione determina il litisconsorzio necessario del proprietario del veicolo - 17 Luglio 2024
