L'APD du Luxembourg a infligé une amende de 18.700 euros à une entreprise. Au cours de son enquête, l'APD a d'abord constaté que le site Internet public du responsable du traitement ne comportait pas les coordonnées directes du DPO. En outre, le DPO n'était pas suffisamment impliqué dans toutes les questions de protection des données. Par exemple, il ne participait aux réunions internes que sur invitation. De plus, il existait plusieurs intermédiaires hiérarchiques entre le DPO et le niveau de direction le plus élevé du responsable du traitement, ce qui ne leur accordait pas une autonomie suffisante. De plus, en l'absence de procédures formalisées, le DPO n'était pas en mesure de contrôler suffisamment la cohérence des pratiques de traitement des données.