Facebook Linkedin
CHIAMA

Incompatibilità della carica di legale rappresentante e D.P.O. nella stessa società

L’Autorità Garante per la Protezione dei Dati Personali, mediante il provvedimento n. 802 del 2024, ha riconosciuto l’incompatibilità del soggetto legale rappresentante di una società allo svolgimento anche della funzione di Responsabile per la Protezione dei Dati personali (“R.P.D.”, anche noto come Data Protection Officer o “D.P.O.”) presso la stessa società, fornendo poi ulteriori precisazioni sull’applicazione e la violazione di alcuni principi generali vigenti in materia di protezione dei dati personali.

La vicenda

Tizio, in qualità di legale rappresentante della società Alfa, presentava numerose richieste di accesso ai dati della Centrale Rischi presso la Banca d’Italia, effettuate per conto di persone fisiche. La Banca d’Italia, però, rilevava l’assenza di una effettiva legittimazione di Tizio a presentare quelle richieste, pertanto segnalava tali condotte all’Autorità Garante per la Protezione dei Dati Personali, a fronte del rischio di un utilizzo improprio di dati personali di carattere finanziario indebitamente acquisiti. Il Garante, allora, svolgeva degli accertamenti ispettivi nei confronti della società Alfa, in qualità di titolare del trattamento, formulando anche una richiesta di informazioni, rimasta priva riscontro, dopodiché notificava nuovamente tale richiesta unitamente all’atto di avvio del procedimento sanzionatorio, ottenendo solo allora dalla società Alfa ulteriore documentazione ad integrazione dell’istruttoria.

La decisione

All’esito dell’istruttoria, venivano quindi accertate nei confronti della società Alfa, quale titolare del trattamento, diverse violazioni della normativa in materia di protezione dei dati personali. Prima di tutto, il Garante ha rilevato la violazione dei principi di lealtà, correttezza e trasparenza ex art. 5, par. 1, lett. a) e art. 14 del G.D.P.R., in quanto nel sistema gestionale della società Alfa confluivano indistintamente dati personali di oltre 70.000 clienti raccolti da diverse società, tutte costituite e amministrate da Tizio, sebbene alcune di esse oggi inattive o estinte, e senza informare di tutto ciò gli interessati. Successivamente è stata contestata la violazione dell’art. 5, par. 1, lett. e) del G.D.P.R., dovuta al fatto che la società Alfa non aveva individuato precise tempistiche di conservazione dei dati trattati, al contrario di quanto invece dichiarato nell’informativa resa agli interessati ex art. 13 del G.D.P.R.. Ancora, l’Autorità Garante per la Protezione dei Dati Personali accertava la violazione dell’art. 28 del G.D.P.R., poiché venivano effettuati alcuni trattamenti, per conto della società Alfa, da altre persone, sia fisiche sia giuridiche, senza che la stessa provvedesse alla necessaria regolamentazione negoziale di tale rapporto. Inoltre, con il provvedimento in esame veniva dichiarata l’illegittimità ex artt. 37 e 38 del G.D.P.R. della designazione di Tizio quale D.P.O., in considerazione dell’incompatibilità di quest’ultimo. Infatti Tizio, rivestendo la figura di legale rappresentante della società Alfa, cioè del titolare del trattamento, determina i mezzi e le finalità del trattamento, pertanto, sempre secondo l’Autorità Garante, quello stesso soggetto non può avere anche l’indipendenza necessaria per esercitare le funzioni di sorveglianza sul rispetto della normativa in materia di protezione dei dati personali, proprie del D.P.O.. Da tutto quanto sin qui dichiarato, peraltro, è emersa anche l’inadeguatezza delle misure tecniche e organizzative adottate dalla società Alfa per conformare i trattamenti alle previsioni di legge, in violazione del principio di “accountability” ex art. 5, par. 2 e art. 24 del G.D.P.R. Infine, durante la fase istruttoria, la società Alfa aveva omesso di fornito riscontro ad un richiesta di informazioni formulata dal Garante, integrando tale condotta una violazione dell’art. 157 del Codice in materia di protezione dei dati personali. Per tutte le violazioni sin qui descritte, oltre all’esercizio di specifici poteri correttivi ex art. 58, par. 2 del G.D.P.R., l’Autorità Garante per la Protezione dei Dati Personali ha comminato una sanzione pecuniaria pari ad Euro 70.000,00 alla società Alfa.

In conclusione, in occasione del provvedimento n. 802 del 2024, l’Autorità Garante per la Protezione dei Dati Personali, oltre ad aver fornito ulteriori chiarimenti sull’applicazione e la violazione di alcuni principi generali vigenti in materia, ha riconosciuto l’incompatibilità del legale rappresentante di una società a svolgere la funzione di D.P.O. presso la stessa, alla luce dell’indipendenza che contraddistingue quest’ultima figura.

Per una consulenza sull’argomento, rivolgiti a Studio Legale Rancan Avvocato a Vicenza cliccando qui sotto:

 

 

Chiamaci
Scrivici

Condividi:

Scrivici un messaggio

prenota appuntamento

Articoli correlati

Principio di accessione

L’operatività del principio dell’accessione in caso di costruzione sul suolo comune da parte di un solo comproprietario

LEGGI L'ARTICOLO
soci

In caso di estinzione di una società di capitali l’impugnazione va proposta dagli ex soci o nei loro confronti

LEGGI L'ARTICOLO
eccezione inadempimentp

Solo l’inadempimento attuale e concreto, in un contesto di squilibrio contrattuale, legittima l’esercizio dell’eccezione ex art. 1460 c.c.

LEGGI L'ARTICOLO
STUDIO LEGALE RANCAN

Via Acque 6/D int. 27
36050 Bolzano Vicentino (VI)

P.Iva 03412320248
C.F. RNCLSS80A25A459H

CONTATTI

0444 1572588

0444 1572597

alessio.rancan@studiolegalerancan.it

INFORMAZIONI

Privacy policy

Cookie policy