La nostra Autorità Garante in due provvedimenti negli ultimi mesi ha sanzionato due enti (provv. n. 166 del 27 aprile 2023, doc. web n. 9896450 e provv. n. 312 del 18 luglio 2023, doc. web n. 99205789) per non avere rispettato le norme GDPR in ordine all’obbligo di designazione tempestiva del DPO, di pubblicazione dei dati di contatto e comunicazione all’Autorità di controllo (art. 37, parr. 1 e 7, del Regolamento).
Nel primo caso, un Comune aveva designato il Responsabile della protezione dei dati oltre la data in cui il GDPR è diventato efficace (25 maggio 2018) nonché pubblicato i dati di contatto del RPD sul proprio sito web istituzionale un mese dopo la data della designazione dello stesso. Nella seconda fattispecie, invece, un ente non aveva provveduto a comunicare al Garante la variazione dei dati del DPO. È bene sottolineare – come precisato dall’Autorità nelle proprie linee guida – che ciascun soggetto che designa un RPD è tenuto ad effettuare entrambi gli adempimenti previsti dall’art. 37, par. 7, del Regolamento (pubblicazione e comunicazione all’Autorità dei dati di contatto). Si evidenzia, infine, che il Garante ha reso disponibile un’apposita procedura online non solo per la comunicazione, ma anche per la variazione e la revoca del nominativo del RPD designato da effettuarsi tempestivamente, in modo che l’Autorità, per l’esercizio dei propri compiti, sia sempre in possesso di informazioni aggiornate e, conseguentemente, si rivolga al “punto di contatto” esatto.
| P. IVA 02917600302 |