Garante Privacy: sanzione per il comune che aveva nominato come DPO (Data Protection Officer) il proprio responsabile del settore Affari Generali

Provvedimento Garante Privacy n. 174 del 12.05.2022

L’Autorità Garante per la protezione dei dati personali ha sanzionato per € 6.000,00 un comune avverso il quale era stato presentato un reclamo da parte di un ex dipendente a fronte di illegittime comunicazioni di dati personali, per di più in un ambito delicato quale quello del pignoramento dello stipendio.

L’istruttoria avviata dall’Autorità indipendente ha non solo confermato la tesi del reclamante, ma ha fatto altresì emergere ulteriori profili di illiceità con specifico riguardo alla figura del Data Protection Officer, dall’ente locale individuato nella persona del responsabile del settore Affari Generali, ovvero in una figura di vertice rispetto alla quale risulta evidente il profilo di incompatibilità per conflitto di interessi.

Pure la successiva nomina di un secondo DPO, questa volta in linea coi requisiti di autonomia e indipendenza richiesti dal GDPR, non è stata esente da critiche da parte dell’Authority, giustamente severa nell’evidenziare la tardiva comunicazione della designazione al Garante stesso nonché la mancata pubblicazione dei rispettivi dati di contatto, con pregiudizio dunque della protezione dei dati personali dei cittadini il cui esercizio risulta così ostacolato dalla difficoltà di reperimento delle informazioni utili per contattare il DPO.

Per superare le censure dell’Autorità non è bastato invocare la limitatezza di risorse finanziarie e organizzative che caratterizza il comune in questione, considerata la gravità delle violazioni commesse soprattutto se rapportate alle esigenze di tutela dei dati personali dei cittadini.

La scelta del DPO rappresenta un momento di centrale importanza nella gestione di una qualunque organizzazione, date le funzioni di raccordo che l’ordinamento assegna a tale funzione; essa, tuttavia, presuppone il rispetto di determinati requisiti posti a garanzia del buon funzionamento del ruolo stesso e di tutela degli interessati, a partire dalle caratteristiche di specializzazione e indipendenza dal vertice gerarchico.

Il Garante Privacy, pertanto, continua a dimostrare particolare attenzione e sensibilità nel perseguimento delle violazioni, cominciando a occuparsi anche degli aspetti relativi alla complessa e delicata scelta del Responsabile della protezione dei dati personali da parte di organizzazioni di modeste dimensioni quali i piccoli comuni. SLS – StudioLegaleSodo presta da anni assistenza e consulenza in materia di Privacy & Data Protection, potendo mettere a disposizione delle organizzazioni pubbliche e private la propria esperienza e professionalità anche per ciò che riguarda questo delicato momento.