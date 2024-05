Viola la privacy e viene sanzionato l’ente pubblico che non comunica al Garante i dati di contatto del Responsabile della protezione dei dati personali (DPO).



1. I fatti

Il Garante per la protezione dei dati personali effettuava un controllo sul sito web istituzionale della Provincia di Sassari, dal quale emergeva che detto Ente, pur avendo provveduto a pubblicare sul predetto sito web i dati di contatto del Responsabile della protezione dei dati personali (c.d. DPO) che era stato nominato, non aveva tuttavia comunicato detti dati al Garante medesimo.

In considerazione di tale verifica, il Garante notificava alla Provincia l’avvio del procedimento per l’adozione dei provvedimenti sanzionatori nei suoi confronti collegati alla mancata comunicazione dei dati di contatto del DPO, invitando la Provincia medesima a produrre i propri scritti difensivi.

L’Ente si difendeva sostenendo di non aver effettuato la comunicazione al Garante dei predetti dati a causa di un “mero disguido informatico che ha portato all’errore contestato” e precisando che – proprio a seguito della ricezione dell’avvio del procedimento da parte del Garante – aveva effettuato la comunicazione dei dati di contatto del DPO a detta Autorità.

2. Mancata comunicazione dei contatti del DPO: valutazione del Garante

Preliminarmente, il Garante ha ricordato che il trattamento dei dati personali, da parte dei soggetti pubblici, deve avvenire nel rispetto delle disposizioni del Regolamento europeo per la protezione dei dati personali (GDPR) e del codice privacy adottato dall’Italia.

In particolare, il GDPR stabilisce, in primo luogo, che il titolare del trattamento e il responsabile del trattamento debbono designare sistematicamente un responsabile della protezione dei dati ogniqualvolta il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali); in secondo luogo, la predetta normativa europea stabilisce che il titolare del trattamento o il responsabile del trattamento deve pubblicare i dati di contatto del responsabile della protezione dei dati e li deve comunicare all’autorità di controllo (cioè al Garante per la protezione dei dati personali).

Secondo il Garante, dette disposizioni normative mirano a garantire che tutti gli interessati (siano essi interni al titolare o al responsabile del trattamento o siano esterni a tali soggetti) nonché le autorità di controllo (come il Garante privacy) possano contattare il Responsabile della protezione dei dati in modo facile e diretto senza doversi rivolgere a un’altra struttura che fa parte del titolare o del responsabile del trattamento.

Per permettere ai titolari e ai responsabili del trattamento di effettuare più agevolmente tale comunicazione al Garante, quest’ultimo ha messo a disposizione un’apposita procedura on line con cui è possibile comunicare i dati del DPO o anche variare detti dati e comunicare la revoca del nominativo del DPO designato.

Nel caso di specie, il Garante ha accertato che la Provincia non aveva provveduto a comunicare al Garante i dati di contatto del DPO che era stato designato dal predetto Ente, nonostante gli stessi fossero stati inseriti all’interno del sito web istituzionale.