Un’azienda berlinese deve pagare una multa di 525.000 euro per aver violato le disposizioni del regolamento generale sulla protezione dei dati – GDPR.
Le multe per violazione del GDPR devono essere proporzionate, ma avere anche un effetto dissuasivo, spiega l’avvocato Michael Rainer, MTR Rechtsanwälte. Che queste non siano parole vuote, lo ha percepito la filiale di un gruppo commerciale berlinese. L’incaricata della protezione dei dati e della libertà d’informazione di Berlino (BlnBDI) ha inflitto alla società una multa di 525.000 euro, come illustrato il 20 settembre 2022. La multa non è ancora definitiva.
Il motivo è che l’azienda aveva nominato un responsabile della protezione dei dati che doveva controllare in maniera indipendente le decisioni di cui era responsabile in un’altra funzione. Questo costituisce un chiaro conflitto di interessi per il responsabile della protezione dei dati e quindi anche una violazione del GDPR, secondo la BlnBDI.
Ai responsabili della protezione dei dati aziendali spetta il compito importante di consigliare l’azienda sui suoi obblighi in materia di protezione dei dati e di controllare il rispetto delle normative sulla protezione dei dati, spiega la responsabile della protezione dei dati di Berlino. Pertanto, tale funzione ai sensi dell’art. 38 par. 6 frase 2 GDPR può essere svolta solo da persone che non siano soggette a conflitto di interessi a causa di altri incarichi. Il compito non può quindi essere assunto da persone che si autocontrollano.
Proprio un tale conflitto di interessi era però presente in questo caso, poiché il responsabile della protezione dei dati aziendali era contemporaneamente anche amministratore delegato di due filiali del gruppo, che elaboravano i dati personali per l’impresa commerciale. Ciò ha portato infine al fatto che il responsabile della protezione dei dati doveva controllare anche il rispetto delle leggi sulla protezione dei dati da parte delle filiali, ovvero di società di cui è amministratore. La responsabile della protezione dei dati di Berlino vede in ciò un chiaro conflitto di interessi e ha quindi inizialmente emesso un avvertimento. Poiché la violazione persisteva anche dopo l’avvertimento durante un nuovo controllo, ha imposto la multa.
Il fatturato e l’importante ruolo del responsabile della protezione dei dati nell’azienda sono stati considerati nella determinazione dell’importo della multa.
L’elevata multa dimostra che le richieste del GDPR non dovrebbero essere prese alla leggera dalle aziende. Avvocati esperti possono offrire consulenza.
