Il Garante Privacy del Lussemburgo (di seguito anche CNDP) il 29 giugno 2021 si è pronunciata a seguito di un’indagine avviata sotto forma di audit, per verificare il coinvolgimento effettivo del RPD | DPO (Responsabile della Protezione dei Dati Personali – Data Protection Officer) da parte del Titolare del trattamento, sulla conformità del controllato con la sezione 4 del capitolo 4 del GDPR.

La verifica riguardava i seguenti punti:

  1. S’assurer que l’organisme soumis à l’obligation de désigner un DPD l’a bien fait;
  2. S’assurer que l’organisme a publié les coordonnées de son DPD;
  3. S’assurer que l’organisme a communiqué les coordonnées de son DPD à la CNPD;
  4. S’assurer que le DPD dispose d’une expertise et de compétences suffisantes pour s’acquitter efficacement de ses missions;
  5. S’assurer que les missions et les tâches du DPD n’entraînent pas de conflit d’intérêt;
  6. S’assurer que le DPD dispose de ressources suffisantes pour s’acquitter efficacement de ses missions;
  7. S’assurer que le DPD est en mesure d’exercer ses missions avec un degré suffisant d’autonomie au sein de son organisme;
  8. S’assurer que l’organisme a mis en place des mesures pour que le DPD soit associé à toutes les questions relatives à la protection des données;
  9. S’assurer que le DPD remplit sa mission d’information et de conseil auprès du responsable du traitement et des employés;
  10. S’assurer que le DPD exerce un contrôle adéquat du traitement des données au sein de son organisme;
  11. S’assurer que le DPD assiste le responsable du traitement dans la réalisation des analyses d’impact en cas de nouveaux traitements de données.

All’esito della verifica i punti su cui prestare maggiore attenzione sono:

  1. Il RPD | DPO della società non era stato invitato a tutte le riunioni pertinenti legate ai trattamenti dati e quindi non si poteva ritenere che fosse stato coinvolto in modo corretto e tempestivo in tutte le questioni relative alla protezione dei dati personali come previsto dall’articolo 38 (1) GPDR.
  2. Il DPO non riportava direttamente al più alto livello dirigenziale della società, non garantendo quindi che il DPO potesse agire senza ricevere alcuna istruzione in merito all’esercizio dei propri compiti ai sensi dell’art. 38(3) GPDR. Durante l’indagine è stato rilevato che il DPO non effettuava una rendicontazione delle proprie attività, contrariamente a quanto previsto dall’art. 39 (1) (a) GDPR che prevede che il DPO debba informare e consigliare il titolare del trattamento.

La sanzione

In considerazione delle violazioni riportate, il CNPD (Garante Lussemburghese) ha comminato alla società una sanzione amministrativa di quindicimila euro (15.000 euro); ha altresì ordinato al Titolare del trattamento di conformarsi agli articoli 38 (1), 38 (3), 39 (1) (a) e 39 (1) (b) GDPR entro quattro mesi dalla notifica della decisione.

 

Per approfondimenti: https://cnpd.public.lu/content/dam/cnpd/fr/decisions-fr/2021/Decision-23FR-2021-sous-forme-anonymisee.pdf