Il Garante per la Protezione dei Dati Personali ha sanzionato la Regione Lazio per illecito controllo dei metadati relativi alle e-mail dei dipendenti. Nel caso in esame, la Regione aveva avviato un’indagine interna per una sospetta divulgazione a terzi di informazioni riservate. Per effettuare le verifiche sono stati utilizzati metadati (in particolare orari, destinatari, oggetto delle comunicazioni, peso degli allegati) utilizzando dati conservati per 180 giorni per generiche finalità di “sicurezza informatica”. Secondo l’autorità Garante, in questo modo sono stati violati i principi che legittimano il trattamento dei dati e le norme sul controllo a distanza dei lavoratori, poiché la raccolta di dati non strumentali allo “svolgimento della prestazione” del lavoratore (in questo caso i metadati) deve essere legittimata da specifiche garanzie previste dalla legge (accordo sindacale o autorizzazione pubblica).
sanzioni
Sanzione per nomina DPO in conflitto di interesse
L’autorità di controllo di Berlino ha comminato una sanzione di 525.000 euro alla filiale di una società di e-commerce con base nella stessa città.
La società ha nominato un Data Protection Officer (Responsabile della Protezione dei Dati) che ricopre anche l’incarico di managing director in due aziende di servizi che trattano dati personali per conto della stessa società per la quale il professionista agisce in qualità di RDP (o DPO). Le aziende di servizi fanno parte dello stesso gruppo al quale appartiene la società di e-commerce.
Considerata la situazione, l’autorità di controllo ha contestato la nomina di un RPD in conflitto di interesse in violazione dell’articolo 38(6) del GDPR. Nel caso specifico, nel corso del 2021 era già stato inviato un avvertimento alla società e, quando la nuova ispezione ha rilevato come non ci fossero state modifiche alla nomina, l’autorità ha deciso per la sanzione.
(fonte: GDPR Enforcement Tracker)
Nomina DPO non corretta – sanzionato un comune
Un Comune è stato sanzionato per 6.000 euro in seguito al reclamo di un ex dipendente che lamentava la comunicazione da parte del Comune al nuovo datore di lavoro di informazioni relative alla situazione debitoria personale dell’ex dipendente stesso, in particolare informazioni relative al pignoramento di una quota dello stipendio.
Nel corso dell’istruttoria, l’autorità di controllo ha rilevato come il Comune, all’epoca dei fatti, avesse nominato quale DPO il Responsabile Affari Generali, figura apicale incompatibile con il ruolo di responsabile della protezione dei dati in quanto in conflitto di interessi. Il Garante rilevava poi la mancata comunicazione dei dati di contatto del DPO, cosa che rendeva difficile contattare questa figura sia da parte degli interessati che del Garante stesso.
A fine istruttoria, il Garante ha comminato la sanzione per trattamento illecito dei dati e per nomina del DPO in violazione dell’art. 38(6) del Regolamento. Il Comune ha giustificato la situazione affermando che la nomina era stata fatta in un periodo di carenza di personale e di difficoltà economiche (il bilancio non era stato approvato nei tempi previsti), giustificazioni che l’autorità ha ritenuto “meritevoli di considerazione” ma non sufficienti a superare i rilievi.
Le PA devono sempre designare il responsabile della protezione dei dati (anche indicato come RPD o DPO) come previsto agli artt. 37, 38 e 39 del GDPR, selezionando un soggetto sulla base delle qualità professionali e della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati (art. 37(5) GDPR), assicurandosi che gli altri compiti eventualmente svolti dal DPO non diano luogo ad un conflitto di interessi. Il processo che porta alla selezione e alla designazione del DPO va documentato.