Durante questi primi 20 mesi di applicazione del GDPR da parte delle società europee Labor Project ha rilevato due sole sanzioni riguardanti il Data Protection Officer emesse dalle Autorità Garanti UE. Scopriamo insieme i dettagli.
Il primo caso: la sanzione privacy tedesca
Nel primo caso il commissario federale tedesco per la protezione dei dati e la libertà di informazione (BfDI) ha punito un fornitore di telecomunicazioni locale. La società non ha ottemperato ai requisiti legali previsti dall’articolo 37 del GDPR per nominare il responsabile della protezione dei dati (Data Protection Officer – DPO) della società, nonostante le ripetute richieste da parte dell’Autorità stessa.
L’importo dell’ammenda di € 10.000 è stato definito in considerazione dal fatto che si tratta di una società appartenente alla categoria delle microimprese.
Il secondo caso: la sanzione privacy austriaca
Nel secondo caso la sanzione è stata invece comminata dall’Autorità Garante austriaca (DSB) e ammonta a € 50.000.
Questa vede coinvolta una società del settore medico che non ha soddisfatto i requisiti di informativa privacy e non ha nominato un responsabile della protezione dei dati (Data Protection Officer – DPO) ai sensi dell’art. 37 GDPR.
Il GDPR e la nomina del Data Protection Officer
Ricordiamo che, ai sensi dell’art. 37 GDPR, la nomina del DPO in Europa è obbligatoria per il titolare del trattamento e il responsabile ogniqualvolta:
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala
- le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.
Come è ormai noto le sanzioni privacy previste nel caso di mancata nomina del DPO nei casi di obbligo è soggetta a sanzioni amministrative pecuniarie fino a € 10.000.000, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.