L'Autorità lussemburghese per la protezione dei dati (CNPD) ha condotto un'indagine presso una società di logistica nel quadro di una campagna di indagine globale sulla funzione di Responsabile della protezione dei dati (DPO) sia nel settore privato che in quello pubblico.
A seguito delle indagini presso la società, la CNPD ha scoperto:
che il DPO della società non sembrava essere invitato a tutte le riunioni pertinenti per loro e che pertanto non si poteva considerare che fossero coinvolti correttamente e tempestivamente in tutte le questioni relative alla protezione dei dati personali come previsto dall'articolo 38, paragrafo 1, del GPDR;
che il DPO non ha fatto rapporto direttamente al più alto livello di gestione della società, non garantendo così che il DPO potesse agire senza ricevere alcuna istruzione relativa all'esercizio dei loro compiti ai sensi dell'articolo 38, paragrafo 3, del GPDR;
che, sebbene ci si possa ragionevolmente aspettare che il DPO abbia fatto una segnalazione formale e frequente delle loro attività alla direzione, tale segnalazione non era stata istituita e che la società non soddisfaciva pertanto i requisiti dell'articolo 39, paragrafo 1, lettera a , del GDPR, secondo il quale il DPO dovrebbe informare e consigliare il responsabile del trattamento;
che la società non era stata in grado di dimostrare di avere un piano di audit per l'anno, violando così l'articolo 39, paragrafo 1, lettera b), del GPDR in merito ai doveri del DPO di controllare il rispetto del GPDR.
Alla luce di tali violazioni, la CNPD ha inflitto alla società una multa amministrativa di quindicimila euro (15.000 euro) per la violazione degli art. 38, paragrafo 1, 38, paragrafo 3, dell'articolo 39, paragrafo 1, lettera a) e dell'articolo 39, paragrafo 1, lettera b), del GDPR.
