Nomina RPD e comunicazione al Garante: obbligo troppo spesso disatteso dai Comuni
Con l’adozione di quattro provvedimenti sanzionatori nei confronti di enti locali piuttosto recenti dell’11 gennaio 2024 (provvedimenti n. 6, n. 7, n. 8, n. 9), il Garante Privacy ha concluso la prima fase dell’indagine avviata per verificare il rispetto dell’obbligo di comunicazione all’Autorità dei dati di contatto del Responsabile della protezione dei dati (RPD, o Data Protection Officer, DPO).
Ed è già in corso una nuova serie di controlli indirizzati ad una platea ancora più ampia di Comuni che non hanno comunicato all’Autorità i dati di contatto del RPD.
Rilevata la violazione per la mancata comunicazione del RPD, il Garante ha comminato a tre enti locali una sanzione di 2.000 euro ciascuno, mentre al quarto ha applicato una sanzione di 5.000 euro, maggiorata poiché l’inadempimento ha riguardato la nomina di due RPD.
In tutti i provvedimenti sanzionatori il Garante ha ricordato che, per essere in linea con il Regolamento UE (GDPR), se il titolare del trattamento dei dati personali è un soggetto pubblico, quali, ad esempio, amministrazioni dello Stato, Regioni, Province, Comuni, università, aziende del Servizio sanitario nazionale, è obbligato a designare un RPD e a comunicarne i dati di contatto al Garante privacy, attraverso l’apposita procedura messa a disposizione dall’Autorità sul suo sito.
L’obbligo della comunicazione, previsto nel Regolamento UE, mira a garantire la possibilità per l’Autorità Garante di contattare in modo facile e diretto il RPD, figura che ha tra i suoi compiti anche quello di fungere da punto di riferimento fra il titolare (o responsabile) del trattamento e l’Autorità stessa.
In effetti, come noto, il GDPR richiede chiaramente che le organizzazioni nominino un RPD (Responsabile della Protezione dei Dati) nei casi specificati dall’articolo 37 e che tale nomina venga comunicata all’autorità di controllo. Questo obbligo riflette l’importanza di garantire una supervisione interna e un punto di contatto con le autorità per questioni legate alla protezione dei dati.
La differenza nella sanzione imposta al quarto ente locale, più elevata rispetto agli altri tre, evidenzia un principio fondamentale del GDPR: la gravità dell’inadempimento influisce sull’entità della sanzione. In questo caso, l’inadempimento riguardante la nomina di due RPD anziché uno ha portato a considerare l’azione dell’ente più grave, giustificando una sanzione maggiorata.
Questi provvedimenti sanzionatori servono come promemoria per tutte le organizzazioni soggette al GDPR sulla necessità di adempiere agli obblighi normativi, inclusa la nomina di un RPD qualificato e la sua comunicazione all’Autorità Garante.
L’attenzione del Garante alle procedure di nomina e comunicazione dei RPD sottolinea l’importanza che queste figure hanno nell’assicurare il rispetto della normativa sulla protezione dei dati e nel proteggere i diritti e le libertà degli individui riguardo al trattamento dei loro dati personali.
Inoltre, è essenziale che le organizzazioni non solo adempiano formalmente alla nomina di un RPD ma si assicurino anche che la persona designata possieda le conoscenze, le competenze e le capacità necessarie per svolgere efficacemente il suo ruolo. La presenza di un RPD competente e attivamente coinvolto nelle attività dell’organizzazione è cruciale per prevenire violazioni dei dati e per gestire adeguatamente la protezione dei dati personali.
Articolo a cura del Gruppo Appalti presso Autorità di gestione FEASR Regione Campania
Foto tratta da pixabay.com
