Al Garante Privacy basta un click per verificare se il comune non ha ancora nominato il DPO

• Primo Piano
• Martedì, 14 Ottobre 2025 14:04

Sanzionare un comune che non ha nominato il proprio Responsabile della protezione dei dati (Data Protection Officer) è ormai un’operazione automatica. Il Garante per la privacy non deve più indagare a fondo, né accedere a documenti particolari. Basta un rapido controllo online. Se sul sito istituzionale pubblica amministrazione sotto la lente dell’Autorità non compaiono i riferimenti del DPO, o se la comunicazione al Garante non risulta correttamente effettuata, la violazione è servita.

Eppure, dopo oltre sette anni dall’entrata in vigore del Gdpr, sono ancora numerosi gli enti locali che non hanno adempiuto a questo obbligo elementare, previsto espressamente dall’art. 37, par. 1 e 7, del Regolamento (UE) 2016/679.

L’Autorità lo ricorda con il provvedimento n. 384 del 10 luglio 2025, che torna a colpire un’amministrazione comunale per la mancata designazione (e comunicazione) del proprio Responsabile della protezione dei dati.

Nel testo, il Garante spiega con chiarezza che «da una verifica svolta in data XX non risulta che il Comune abbia effettuato la comunicazione dei dati di contatto del Responsabile della protezione dei dati [...] né che tali dati siano reperibili sul sito istituzionale».

In altre parole, un semplice controllo incrociato tra l’elenco pubblico dei DPO comunicati tramite la piattaforma dedicata dell’Autorità e il sito web dell’ente è sufficiente a far emergere l’irregolarità.

La difesa del Comune – che ha tentato di giustificare la mancanza con presunti errori materiali e riferimenti inesatti – non ha retto. L’Autorità ha infatti evidenziato che la comunicazione presente nei propri archivi indicava come titolare del trattamento una società informatica fornitrice di servizi, e non l’ente stesso: un errore che, per la rigidità della disciplina, equivale a un’omissione.

Non solo. Già in precedenza il Garante aveva formalmente invitato il Comune a verificare la correttezza dei propri adempimenti, riservandosi di procedere in caso di inadempienza. Invito rimasto sostanzialmente lettera morta. Da qui la conclusione netta del provvedimento. Non risulta comprovata, fino alla data indicata, la designazione del Responsabile della protezione dei dati, con conseguente sanzione per violazione dell’art. 37, par. 1, del Gdpr.

Il caso è emblematico di un fenomeno diffuso. L’inerzia di molti enti locali nei confronti di un adempimento basilare e pubblico, tanto da rendere i controlli del Garante quasi meccanici. Non servono ispezioni né accessi documentali.

La mancata pubblicazione o la comunicazione errata bastano a far scattare la sanzione. La domanda successiva che l'Autorità potrebbe porsi riguarda la compliance complessiva dell'ente sanzionato. Se un comune non si è ancora preoccupato nemmeno di regolarizzare questa nomina formale, viene da domandarsi quali possano essere le aspettative del mondo data protection nella PA declinato dal punto di vista strettamente operativo.