Il Garante Privacy del Lussemburgo (di seguito anche CNDP) il 29 giugno 2021 si è pronunciata a seguito di un’indagine avviata sotto forma di audit. Tale verifica riguardava il coinvolgimento effettivo del RPD | DPO (Responsabile della Protezione dei Dati Personali – Data Protection Officer) da parte del Titolare del trattamento, sulla conformità del controllato con la sezione 4 del capitolo 4 del GDPR.

La verifica sul DPO riguardava i seguenti punti:

  1. S’assurer que l’organisme soumis à l’obligation de désigner un DPD l’a bien fait;
  2. l’organisme a publié les coordonnées de son DPD;
  3. l’organisme a communiqué les coordonnées de son DPD à la CNPD;
  4.  le DPD dispose d’une expertise et de compétences suffisantes pour s’acquitter efficacement de ses missions;
  5. les missions et les tâches du DPD n’entraînent pas de conflit d’intérêt;
  6. le DPD dispose de ressources suffisantes pour s’acquitter efficacement de ses missions;
  7. le DPD est en mesure d’exercer ses missions avec un degré suffisant d’autonomie au sein de son organisme;
  8. l’organisme a mis en place des mesures pour que le DPD soit associé à toutes les questions relatives à la protection des données;
  9. le DPD remplit sa mission d’information et de conseil auprès du responsable du traitement et des employés;
  10. il exerce un contrôle adéquat du traitement des données au sein de son organisme;
  11. il assiste le responsable du traitement dans la réalisation des analyses d’impact en cas de nouveaux traitements de données.

All’esito della verifica i punti su cui prestare maggiore attenzione sono:

  1. Il RPD | DPO della società non era stato invitato a tutte le riunioni pertinenti legate ai trattamenti dati e quindi non si poteva ritenere che fosse stato coinvolto in modo corretto e tempestivo in tutte le questioni relative alla protezione dei dati personali come previsto dall’articolo 38 (1) GPDR.
  2. Il DPO non riportava direttamente al più alto livello dirigenziale della società, non garantendo quindi che il DPO potesse agire senza ricevere alcuna istruzione in merito all’esercizio dei propri compiti ai sensi dell’art. 38(3) GPDR. Infine, durante l’indagine è stato rilevato che il DPO non effettuava una rendicontazione delle proprie attività, contrariamente a quanto previsto dall’art. 39 (1) (a) GDPR che prevede che il DPO debba informare e consigliare il titolare del trattamento.

La sanzione

In sintesi, viste le violazioni riportate, il CNPD (Garante Lussemburghese) ha comminato alla società una sanzione amministrativa di quindicimila euro (15.000 euro); ha altresì ordinato al Titolare del trattamento di conformarsi agli articoli 38 (1), 38 (3), 39 (1) (a) e 39 (1) (b) GDPR entro quattro mesi dalla notifica della decisione.

Per approfondimenti: https://cnpd.public.lu/content/dam/cnpd/fr/decisions-fr/2021/Decision-23FR-2021-sous-forme-anonymisee.pdf

Potrebbero interessarti:

Il Regolamento UE 2016/679

Il Responsabile della protezione dei dati (DPO)