Autorità polacca per la protezione dei dati personali: multa amministrativa di 132.000 € per errata posizione del DPO e mancata inclusione del profiling nella documentazione

6 Maggio 2025
Redazione DIMT

Il 18 dicembre 2024, il Presidente dell’Ufficio per la protezione dei dati personali (UODO) della Polonia ha imposto una multa amministrativa di 132.000 € alla Toyota Bank Polska S.A. per diverse violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR). Le principali problematiche emerse durante l’ispezione riguardano l’errata posizione del Responsabile della Protezione dei Dati (DPO) all’interno dell’organizzazione e la mancata inclusione delle attività di profiling nella documentazione richiesta.

Il caso è emerso a seguito di un’ispezione condotta dall’UODO, che ha rilevato che la Toyota Bank Polska S.A. non ha rispettato diverse disposizioni del GDPR. In particolare, il DPO non era correttamente posizionato all’interno della struttura organizzativa della banca, compromettendo la sua indipendenza. Inoltre, la banca non ha incluso le attività di profiling nei registri delle attività di trattamento e non ha effettuato una valutazione d’impatto sulla protezione dei dati (DPIA) relativa al profiling.

Principali Risultati

Errata posizione del DPO
Il DPO non riferiva direttamente alla più alta dirigenza della banca, ovvero al Consiglio di Amministrazione. Invece, il DPO lavorava come auditor IT/specialista della sicurezza all’interno del team di sicurezza, riferendo direttamente al direttore del dipartimento di sicurezza. Il direttore aveva anche la responsabilità della gestione delle operazioni di trattamento dei dati, creando un conflitto di interesse che ha compromesso l’indipendenza del DPO, come previsto dall’articolo 38(3) del GDPR.
Mancata inclusione del profiling nella documentazione
La banca trattava i dati dei clienti per determinare la loro solvibilità, inclusi i dati di profiling per valutare il rischio di credito. Tuttavia, la banca non ha incluso questa attività di profiling nel registro delle attività di trattamento, come richiesto dall’articolo 30(1) del GDPR. Inoltre, la banca non ha condotto una valutazione d’impatto sulla protezione dei dati (DPIA) per le attività di profiling, in violazione dell’articolo 35 del GDPR.

Il Presidente dell’UODO ha imposto una multa di 60.000 € alla Toyota Bank Polska S.A. per la violazione dell’articolo 38(3) del GDPR, che riguarda l’indipendenza del DPO. Inoltre, la banca è stata multata con 72.000 € per non aver rispettato i requisiti di documentazione e valutazione d’impatto previsti dagli articoli 30(1) e 35(1,7) del GDPR. L’importo totale della multa ammonta a 132.000 €.

Approfondimenti:

Autorità polacca per la protezione dei dati personali: multa amministrativa di 132.000 € per errata posizione del DPO e mancata inclusione del profiling nella documentazione

Redazione DIMT

Ultimi articoli

AI Literacy, in vigore i nuovi obblighi formativi introdotti dall’AI ACT

Frontiere digitali in Europa: via libera all’introduzione graduale del nuovo sistema di ingressi/uscite (EES)

Stop allo spoofing e più trasparenza per le offerte telefoniche: le nuove regole dell’AGCOM

Chatbot e privacy: multa da 5 milioni per Replika, indagine del GPDP sull’addestramento dell’IA

Prossimi eventi

Vulnerabilità digitale. Un percorso intergenerazionale tra diritti della persona e relazioni di mercato

The AI mirror: Reclaiming our humanity in an age of machine thinking

Intelligenza Artificiale in medicina: responsabilità, consenso e dati

Intelligenza artificiale e responsabilità civile. Problema, Sistema, Funzioni

Condividi