Il Commissario per la protezione dei dati e la libertà d’informazione di Amburgo (l’ “HmbBfDI”) ha comminato a Facebook Germany GmbH una sanzione di importo pari a 51.000 euro per non aver correttamente nominato il DPO, in conformità a quanto disposto ai sensi dell’art. 37 par. 7 del GDPR.
Nella relazione annuale dell’Autorità relativa al 2019, l’HmbBfDI afferma in particolare di aver appreso, attraverso un reclamo, che Facebook aveva revocato l’incarico al precedente DPO della filiale tedesca per procedere alla nomina del team di protezione dei dati stanziato nella sede centrale in Irlanda come DPO per tutte le filiali europee. Tuttavia, nonostante la società avesse adempiuto all’obbligo di comunicazione della nomina al Commissario per la protezione delle informazioni e dei dati irlandese, non aveva effettuato la medesima notifica all’HmbBfDI.
Sebbene a prima vista l’importo della sanzione possa sembrare di scarsa entità, rapportata ai numeri associati al nome del big dei social network, occorre considerare che la destinataria non è il colosso da miliardi di dollari, ma la ben più piccola unità tedesca, una società con un fatturato annuo di circa 35 milioni di dollari e la cui attività – a differenza della società madre – non ha ad oggetto il trattamento dei dati personali degli utenti. Ebbene, rivalutata in questi termini, la sanzione può ritenersi significativamente dissuasiva.
Il caso in esame costituisce chiaramente un avvertimento per le altre società, evidenziando come la nomina di un DPO e la notifica all’autorità di controllo locale siano obblighi che – come si legge nel report dell’HmbBfDI – l’autorità per la protezione dei dati “prende sul serio”. Pertanto, è importante che le multinazionali che operano in varie giurisdizioni comprendano e rispettino in maniera puntuale le previsioni del GDPR, non sottovalutando le conseguenze che potrebbero comportare persino delle violazioni minori della normativa applicabile. Notiamo sempre più spesso che le nomine a DPO soprattutto di gruppi internazionali non sono formalizzate in una nomina e una delibera del CdA, non sono notificate alle autorità di controllo di tutte le società del gruppo per cui il DPO opera e avvengono con notevole ritardo. Al contrario, uno degli aspetti che vengono subito richiesti dal Garante nell’ambito di un’ispezione è la prova dell’avvenuta nomina del DPO e la giustificazione di un’eventuale notifica ritardata. Anche se l’azienda decide di non dover nominare un DPO, deve giustificarlo internamente con un parere da depositare al Garante in caso di contestazione.