Skip to content

Enti locali & privacy fai da te

Scatta una sanzione salata per i comuni che non hanno ancora provveduto a nominare il proprio responsabile per la protezione dei dati.

Sono passati sette anni dall’entrata in vigore definitiva del Gdpr ma alcuni enti risultano ancora senza dpo/rpd. E quando l’Autorità di controllo se ne accorge sono guai grossi per il primo cittadino. Lo ha evidenziato il Garante per la protezione dei dati personali con il provvedimento n. 5 del 16 gennaio 2025.

Da un controllo d’ufficio l’Autorità ha riscontrato che un comune siciliano non ha mai provveduto a notificare la nomina del proprio dpo/rpd. E di questa importante figura non risulta nessuna traccia neppure sul sito istituzionale dell’Ente.

Pertanto, specifica il collegio, “con nota del XX, l’Ufficio, sulla base degli elementi acquisiti e dalle verifiche compiute, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per non aver designato il rpd, per non aver pubblicato i dati di contatto dello stesso né effettuato la relativa comunicazione all’Autorità, in violazione dell’art. 37, parr. 1 e 7, del Regolamento.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità. Al riguardo, tuttavia, non sono pervenuti scritti difensivi.

L’istruttoria si è quindi conclusa con l’applicazione di una sanzione amministrativa di 6 mila euro e l’intimazione a procedere alla nomina.

Ai sensi dell’art. 37 del Regolamento, prosegue il provvedimento, “il titolare del trattamento designa sistematicamente un responsabile della protezione dei dati ogniqualvolta:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali

e pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo”.

Anche il Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati in ambito pubblico, adottato dal Garante il 29 aprile 2021 con provvedimento n. 186, precisa che per quanto concerne la pubblicazione, questa dovrà essere effettuata sul sito web dell’amministrazione, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che nella sezione dedicata all’organigramma dell’ente ed ai relativi contatti.

Per quanto concerne la comunicazione all’Autorità, si evidenzia che il Garante ha reso disponibile un’apposita procedura online non solo per la comunicazione, ma anche per la variazione e la revoca del nominativo del rpd designato.

Tale procedura rappresenta l’unico canale di contatto utilizzabile a questo specifico fine ed è reperibile alla pagina:

https://servizi.gpdp.it/comunicazionerpd/s/

ove sono riportate anche le istruzioni e le relative faq. Si richiama l’attenzione degli enti a inserire correttamente i dati richiesti, come l’individuazione del titolare del trattamento e la compilazione del codice fiscale dell’amministrazione.

Nel caso di specie, essendosi verificata la mancata pubblicazione e comunicazione dei dati di contatto del rpd all’Autorità, risulta accertata la violazione dell’art. 37, par. 7, del Regolamento.

Inoltre, non essendo stato possibile reperire i dati di contatto del rpd, non sono rinvenuti elementi in grado di comprovare l’effettiva designazione da parte del Comune, del rpd, in violazione dell’art. 37, par. 1 del Regolamento.

Stefano Manzelli

Stefano Manzelli

Consulente privacy, divulgatore e data protection officer. Mi occupo in particolare di videosorveglianza pubblica e privata e cerco sempre, con il mio staff, di fornire soluzioni concrete e praticabili ai nostri interlocutori.