Omessa nomina del DPO: il Garante Privacy sanziona un Comune

Con provvedimento del 16 gennaio u.s. il Garante Privacy ha sanzionato un Comune a seguito dell’accertata omessa comunicazione dei dati di contatto del DPO nonché l’omessa designazione dello stesso, in violazione dell’art. 37, parr. 1 e 7, del Regolamento (UE) 2016/679 (GDPR). Contestualmente il Garante ha invitato il Comune ad adottare le opportune misure correttive.

Durante l’istruttoria, il Garante ha individuato diverse inadempienze commesse dal Comune, quali:

• mancata designazione del DPO ai sensi e per gli effetti dell’art. 37, par. 1, lett. a) del GDPR; la nomina del DPO è un obbligo per il il titolare/responsabile del trattamento in quanto costituisce figura centrale al fine di garantire la conformità dell’ente al Regolamento e fungere da punto di contatto tra l’ente, gli interessati e l’Autorità di controllo;
• mancata pubblicazione dei dati di contatto del DPO ai sensi e per gli effetti dell’art. 37, par. 7 GDPR; il GDPR, infatti, impone che i dati di contatto del DPO siano pubblicati sul sito web istituzionale dell’amministrazione. Precisamente i dati di contatto del DPO devono essere pubblicati sul sito web all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che nell’ambito della sezione dedicata all’organigramma dell’ente, secondo quanto indicato dal Provvedimento n. 186 del 29 aprile 2021 del Garante Privacy;  a tale ultimo riguardo, segnatamente il Garante ricorda che: “Per quanto concerne la pubblicazione, questa dovrà essere effettuata sul sito web dell’amministrazione, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che nell’ambito della sezione dedicata all’organigramma dell’ente ed  ai relativi contatti. Non è necessario che, tra i dati oggetto di pubblicazione, vi sia anche il nominativo del RPD, non essendo questa informazione indispensabile a fini di contatto da parte di chiunque sia interessato: al contrario, risulta imprescindibile che tra i dati di contatto vi sia quantomeno un indirizzo di posta elettronica (sicuramente ordinaria, eventualmente integrata con un indirizzo PEC). A proposito dell’indirizzo di posta elettronica, si invitano le amministrazioni a rendere disponibili, sia nei confronti del pubblico che dell’Autorità, una casella “istituzionale” ad hoc attribuita specificamente al solo RPD, evitando l’utilizzo di caselle che siano direttamente espressione del titolare del trattamento (ad esempio, perché richiamano l’“amministrazione”, la “segreteria” o il “protocollo”). Invero, perché sia effettivamente indipendente nell’esercizio delle sue funzioni (come richiesto dal cons. 97 del Regolamento), sarebbe opportuno che il RPD venisse contattato attraverso canali che riconducano direttamente a lui, senza l’intermediazione di uffici facenti capo al titolare. Tale adempimento consente di garantire la trasparenza e permettere agli interessati di esercitare il diritto all’informazione”.
• mancata comunicazione dei dati del DPO al Garante ai sensi e per gli effetti dell’art. 37, par. 7 del GDPR; il GDPR, infatti, richiede che i dati di contatto del DPO siano comunicati all’Autorità di controllo, attraverso l’apposito canale ufficiale. Questa misura è necessaria per garantire un canale diretto tra il DPO e il Garante.

Sulla base delle inadempienze riscontrate e dell’assenza di scritti difensivi da parte del Comune, l’Autorità ha ingiunto al Comune, ai sensi dell’art. 58, par. 2, lett. d) GDPR, di adottare misure idonee al fine di conformarsi al GDPR e specificamente di provvedere alla designazione del DPO e alla pubblicazione dei dati di contatto nel proprio sito istituzionale, nonché alla comunicazione dei dati di contatto del DPO all’Autorità.

L’Autorità altresì, ai sensi dell’art. 58, par. 2, lett. i), e dell’art. 83 GDPR, ha irrogato la sanzione amministrativa pecuniaria di 6.000 euro, tenendo conto dell’assenza di collaborazione da parte del Comune nel porre rimedio alla violazione contestata e dell’assenza a carico dello stesso di precedenti violazioni pertinenti.

Tale provvedimento rinforza l’attenzione sull’importanza della figura del DPO: la sua omessa designazione e comunicazione all’Autorità non rappresenta solamente una violazione formale della norma, ma espone l’ente a rischi significativi in tema di violazione del GDPR e dell’efficacia del sistema di protezione dei dati.

Tali adempimenti, inoltre, garantiscono ai soggetti interessati che intendono tutelare i propri diritti e alle Autorità di controllo un dialogo diretto ed efficace con il DPO senza doversi rivolgere ad altri soggetti operanti presso il titolare/responsabile.