Con l’adozione di quattro provvedimenti sanzionatori nei confronti di enti locali piuttosto recenti dell’11 gennaio 2024 [provvedimenti n. 6, n. 7, n. 8, n. 9), il Garante Privacy ha concluso la prima fase dell’indagine avviata per verificare il rispetto dell’obbligo di comunicazione all’Autorità dei dati di contatto del Responsabile della protezione dei dati (RPD, o Data Protection Officer, DPO).
Ed è già in corso una nuova serie di controlli indirizzati ad una platea ancora più ampia di Comuni che non hanno comunicato all’Autorità i dati di contatto del RPD.
Rilevata la violazione per la mancata comunicazione del RPD, il Garante ha comminato a tre enti locali una sanzione di 2.000 euro ciascuno, mentre al quarto ha applicato una sanzione di 5.000 euro, maggiorata poiché l’inadempimento ha riguardato la nomina di due RPD.
In tutti i provvedimenti sanzionatori il Garante ha ricordato che, per essere in linea con il Regolamento UE (GDPR), se il titolare del trattamento dei dati personali è un soggetto pubblico, quali, ad esempio, amministrazioni dello Stato, Regioni, Province, Comuni, università, aziende del Servizio sanitario nazionale, è obbligato a designare un RPD e a comunicarne i dati di contatto al Garante privacy, attraverso l’apposita procedura messa a disposizione dall’Autorità sul suo sito.
L’obbligo della comunicazione, previsto nel Regolamento UE, mira a garantire la possibilità per l’Autorità Garante di contattare in modo facile e diretto il RPD, figura che ha tra i suoi compiti anche quello di fungere da punto di riferimento fra il titolare (o responsabile) del trattamento e l’Autorità stessa.
In effetti, come noto, il GDPR richiede chiaramente che le organizzazioni nominino un RPD (Responsabile della Protezione dei Dati) nei casi specificati dall’articolo 37 e che tale nomina venga comunicata all’autorità di controllo. Questo obbligo riflette l’importanza di garantire una supervisione interna e un punto di contatto con le autorità per questioni legate alla protezione dei dati.
La differenza nella sanzione imposta al quarto ente locale, più elevata rispetto agli altri tre, evidenzia un principio fondamentale del GDPR: la gravità dell’inadempimento influisce sull’entità della sanzione. In questo caso, l’inadempimento riguardante la nomina di due RPD anziché uno ha portato a considerare l’azione dell’ente più grave, giustificando una sanzione maggiorata.
Questi provvedimenti sanzionatori servono come promemoria per tutte le organizzazioni soggette al GDPR sulla necessità di adempiere agli obblighi normativi, inclusa la nomina di un RPD qualificato e la sua comunicazione all’Autorità Garante.
L’attenzione del Garante alle procedure di nomina e comunicazione dei RPD sottolinea l’importanza che queste figure hanno nell’assicurare il rispetto della normativa sulla protezione dei dati e nel proteggere i diritti e le libertà degli individui riguardo al trattamento dei loro dati personali.
Inoltre, è essenziale che le organizzazioni non solo adempiano formalmente alla nomina di un RPD ma si assicurino anche che la persona designata possieda le conoscenze, le competenze e le capacità necessarie per svolgere efficacemente il suo ruolo. La presenza di un RPD competente e attivamente coinvolto nelle attività dell’organizzazione è cruciale per prevenire violazioni dei dati e per gestire adeguatamente la protezione dei dati personali.
Questo processo, quindi, non solo risponde a un preciso obbligo normativo imposto dal GDPR, ma sottolinea anche l’impegno dell’ente nel proteggere i diritti e le libertà degli individui riguardo al trattamento dei loro dati (principio di accountability).
Nel tessuto di un Comune, dove la quantità e la varietà di dati personali gestiti sono sostanziali e spesso includono informazioni sensibili, la figura del RPD assume un ruolo centrale. Agisce come una bussola che guida l’ente attraverso il complesso panorama della protezione dei dati, assicurando che ogni decisione e azione sia in linea con la normativa sulla privacy. Il RPD non solo supervisiona la conformità alle normative, ma si dedica anche a promuovere una cultura della protezione dei dati all’interno dell’organizzazione, sensibilizzando i dipendenti sull’importanza e sulle implicazioni del loro trattamento.
La comunicazione del RPD al Garante, d’altra parte, va oltre il mero adempimento formale. Stabilisce un canale di comunicazione diretto con l’autorità di controllo, fondamentale in casi di consultazioni o segnalazioni di violazioni dei dati. Questo legame facilita un dialogo costruttivo e tempestivo, essenziale per risolvere efficacemente eventuali problematiche che possano emergere e per assicurare una trasparenza operativa.
Inoltre, il RPD agisce come punto di contatto per i cittadini che hanno domande o preoccupazioni riguardo al modo in cui i loro dati vengono trattati. Questo non solo rafforza la fiducia nei confronti dell’amministrazione comunale, ma contribuisce anche a creare un ambiente più informato e consapevole riguardo alla protezione dei dati personali.
