Con il provvedimento n. 174 del 12 maggio 2022, il Garante per la protezione dei dati personali ha sanzionato per seimila euro un Comune in conseguenza della mancanza di una valida designazione di un RPD / DPO (Responsabile della Protezione dei Dati / Data Protecion Officer).
La normativa in materia di protezione dei dati e la figura del DPO
Con riguardo alla figura del RPD, la normativa in materia di protezione dei dati prevede che la designazione dello stesso sia sempre dovuta da parte dei soggetti pubblici (art. 37, par. 1, lett. a), del Regolamento 2016/679).
Il titolare del trattamento è, altresì, tenuto a pubblicare i dati di contatto del RPD e a comunicare gli stessi all’autorità di controllo (art. 37, par. 7, del Regolamento).
Questa disposizione mira a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati in modo facile e diretto.
In base all’articolo 39, paragrafo 1, lettera e) del Regolamento, il Responsabile della Protezione dei Dati funge da punto di contatto fra il singolo ente o azienda e il Garante.
Il reclamo presentato da un ex dipendente comunale
Il procedimento ha avuto origine dal reclamo presentato da parte di un ex dipendente del Comune di Villabate (PA) riguardante alcune comunicazioni di dati personali concernenti il pignoramento del quinto dello stipendio.
Il responsabile di settore del Comune ha comunicato al nuovo datore di lavoro questi dati. Tra le informazioni comunicate l’esistenza del debito stesso, le informazioni sul pignoramento dello stipendio, la somma residua a pagare e altri dati relativi al precedente rapporto di lavoro. Non solo: il Comune ha comunicato anche all’istituto bancario creditore sia la cessazione del rapporto di lavoro del debitore sia altre informazioni personali (proroga del periodo di aspettativa, causale cessazione del rapporto di lavoro ecc…).
Il reclamante decideva quindi di ricorrere al Garante per la protezione dei dati personali ritenendo illegittime queste comunicazioni.
Considerati tali primi rilievi, è stata così riscontrata l’assenza di una valida base giuridica.
Il reclamante lamentava inoltre la mancata nomina da parte del Comune del DPO e la mancata comunicazione dei relativi dati di contatto.
Infatti, il Comune aveva indicato inizialmente nel ruolo il responsabile del settore Affari Generali, ma in modo informale. La formalizzazione è arrivata con determinazione sindacale, nella quale però l’amministrazione ribadiva la temporaneità della nomina “nelle more di individuare idonea figura esterna”.
L’esito dell’istruttoria del Garante e la sanzione emessa
Alla luce delle comunicazioni inviate dal Comune all’Istituto bancario, il Garante ha rilevato come non vi fosse né giustificazione né necessità di una serie di informazioni. Tra queste l’avvenuta cessazione del rapporto di lavoro col reclamante, la proroga del periodo di aspettativa, gli estremi del nuovo datore di lavoro ecc…
Da questo punto di vista, il Garante ha ritenuto che la comunicazione dei dati del reclamante all’istituto bancario sia avvenuta: “in maniera non conforme al “principio di liceità, correttezza e trasparenza” e in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento”.
Riguardo al DPO, il Garante ribadisce che la sua nomina è un obbligo per i soggetti pubblici. Il titolare del trattamento ha l’obbligo, inoltre, di rendere pubblici i dati di contatto e a comunicarli all’Autorità Garante.
Non solo, il DPO può: “svolgere altri compiti e funzioni”, fermo restando che “il titolare del trattamento [deve assicurarsi] che tali compiti e funzioni non diano adito a un conflitto di interessi”.
L’assenza di conflitto di interesse si collega, ovviamente, agli obblighi di indipendenza del DPO rispetto al titolare del trattamento.
Concretamente vuol dire che il DPO non può svolgere anche compiti che gli consentano di definire anche finalità o modalità del trattamento dati personali. Non a caso, nelle FAQ relative, il Garante aveva già spiegato che
“in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell’amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall’ente pubblico”.
Alla luce delle evidenze ottenute in istruttoria il garante ha ingiunto al Comune una multa di 6.000 euro e la pubblicazione del provvedimento.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.