NEWS

Sanzionato il Comune che non aveva mai nominato il Responsabile della Protezione dei Dati

Scatta una sanzione salata per i comuni che non hanno ancora provveduto a nominare il proprio Responsabile per la Protezione dei Dati. Sono passati sette anni dall’entrata in vigore definitiva del Gdpr ma alcuni enti risultano ancora senza DPO/RPD. E quando l’Autorità di controllo se ne accorge sono guai grossi per il primo cittadino.

Lo ha evidenziato il Garante per la protezione dei dati personali con il provvedimento n. 5 del 16 gennaio 2025. Da un controllo d’ufficio l’Autorità ha riscontrato che un comune siciliano non ha mai provveduto a notificare la nomina del proprio Responsabile per la Protezione dei Dati. E di questa importante figura non risulta nessuna traccia neppure sul sito istituzionale dell’Ente. Pertanto, specifica il collegio, “con nota del XX, l’Ufficio, sulla base degli elementi acquisiti e dalle verifiche compiute, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per non aver designato il RPD e per non aver pubblicato i dati di contatto dello stesso né effettuato la relativa comunicazione all’Autorità, in violazione dell’art. 37, parr. 1 e 7, del Regolamento. Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità. Al riguardo, tuttavia, non sono pervenuti scritti difensivi”.

L’istruttoria si è quindi conclusa con l’applicazione di una sanzione amministrativa di 6 mila euro e l’intimazione a procedere alla nomina.

Ai sensi dell’art. 37 del Regolamento, prosegue il provvedimento “il titolare del trattamento designa sistematicamente un responsabile della protezione dei dati ogniqualvolta: a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali e pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo." (…) Anche il Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati in ambito pubblico, adottato dal Garante il 29 aprile 2021 con provvedimento n. 186, precisa che per quanto concerne la pubblicazione, questa dovrà essere effettuata sul sito web dell’amministrazione, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che nell’ambito della sezione dedicata all’organigramma dell’ente ed ai relativi contatti, e che per quanto concerne la comunicazione all’Autorità, si evidenzia che il Garante ha reso disponibile un’apposita procedura online non solo per la comunicazione, ma anche per la variazione e la revoca del nominativo del RPD designato.

(Nella foto: Stefano Manzelli, speaker al Privacy Day Forum 2025)

Tale procedura rappresenta l’unico canale di contatto utilizzabile a questo specifico fine ed è reperibile sulla specifica sezione del sito dell’Autorità, ove sono riportate anche le apposite istruzioni e le relative faq: peraltro, si richiama l’attenzione degli enti a inserire correttamente i dati richiesti, come l’individuazione del titolare del trattamento e la compilazione del codice fiscale dell’amministrazione. Nel caso di specie, essendosi verificata la mancata pubblicazione e comunicazione dei dati di contatto del RPD all’Autorità, risulta accertata la violazione dell’art. 37, par. 7, del Regolamento. Inoltre, non essendo stato possibile reperire i dati di contatto del RPD non sono rinvenuti elementi in grado di comprovare l’effettiva designazione, da parte del Comune, del RPD, in violazione dell’art. 37, par. 1 del Regolamento UE.

Note sull'Autore

Stefano Manzelli Stefano Manzelli

Consulente privacy, divulgatore e il data protection officer. Direttore di sicurezzaurbanaintegrata.it.

Prev Anche sms e messaggi WhatsApp di istituzioni governative e pubbliche amministrazioni rientrano nel diritto di accesso sulla trasparenza amministrativa
Next Sicurezza, privacy e intelligenza artificiale: la politica per i dipendenti si allarga anche all’AI

Privacy Day Forum 2025: il servizio dell'Ansa

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy