Rischio sanzione per chi non ha nominato il DPO (responsabile della protezione dei dati) entro il 25 maggio 2018: data in cui è diventato efficace il regolamento Ue sulla protezione dei dati 2016/679 (Gdpr). Come è capitato a un comune cui il Garante della privacy ha irrogato una sanzione amministrativa con il provvedimento 272/2020, di cui dà notizia la Relazione annuale del Garante presentata il 2 luglio 2021.
Nel caso specifico il Garante ha accertato che un comune non ha designato il responsabile della protezione dei dati (DPO), non ha pubblicato né ha comunicato al Garante i relativi contatti, entro la data del 25 maggio 2018, e cioè entro la data di applicazione del Gdpr, in violazione dell’articolo 37, parr. 1, lett. a), e 7, del Gdpr.
Decorsa quella data l’omissione è diventata sanzionabile.
Una sanzione amministrativa è stata irrogata anche a un’azienda sanitaria per omessa comunicazione al Garante dei dati di contatto del DPO (provvedimento 173/2020): con il medesimo atto è stato ingiunto di provvedere alla richiamata comunicazione al Garante (seguendo l’apposita procedura disponibile online), e di disporre la pubblicazione dei dati di contatto in maniera completa.
Nelle motivazioni di quest’ultima pronuncia il Garante ha anche sottolineato che un ente, nelle more della selezione del DPO esterno, deve comunque individuare temporaneamente, al proprio interno, un dirigente/funzionario da designare interinalmente in questo ruolo.
L’adempimento della nomina è obbligatorio per tutti gli enti pubblici e, in due casi, anche per i soggetti privati.
Per questi ultimi l’obbligo scatta per chi tratta su larga scala, come attività principale, dati sensibili, biometrici e genetici oppure compie monitoraggio regolare sistematico delle persone. In relazione ai soggetti privati non è sempre facile capire se si rientra in un caso di obbligatorietà, vista la labilità del concetto di «larga scala» e degli altri elementi della disposizione.
Peraltro, alla luce della contestazione e della applicazione di sanzioni anche per la mancata nomina, è bene lasciare traccia nei documenti aziendali delle specifiche ragioni che hanno convinto il titolare del trattamento a non dotarsi del DPO. Anche se, in ipotesi sbagliate, queste argomentazioni, se effettuate in buona fede, potranno giocare un ruolo sul piano della attenuazione della quantificazione della sanzione. Non nominare il DPO e non giustificare questa scelta significa, invece, accettare il rischio di ricevere una sanzione amministrativa.
Fonte: Italia Oggi del 12 luglio 2021