Viola la privacy e viene sanzionato l’ente pubblico che non comunica al Garante i dati di contatto del Responsabile della protezione dei dati personali (DPO).
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy
Indice
1. I fatti
Il Garante per la protezione dei dati personali effettuava un controllo sul sito web istituzionale della Provincia di Sassari, dal quale emergeva che detto Ente, pur avendo provveduto a pubblicare sul predetto sito web i dati di contatto del Responsabile della protezione dei dati personali (c.d. DPO) che era stato nominato, non aveva tuttavia comunicato detti dati al Garante medesimo.
In considerazione di tale verifica, il Garante notificava alla Provincia l’avvio del procedimento per l’adozione dei provvedimenti sanzionatori nei suoi confronti collegati alla mancata comunicazione dei dati di contatto del DPO, invitando la Provincia medesima a produrre i propri scritti difensivi.
L’Ente si difendeva sostenendo di non aver effettuato la comunicazione al Garante dei predetti dati a causa di un “mero disguido informatico che ha portato all’errore contestato” e precisando che – proprio a seguito della ricezione dell’avvio del procedimento da parte del Garante – aveva effettuato la comunicazione dei dati di contatto del DPO a detta Autorità.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
23.75 €
2. Mancata comunicazione dei contatti del DPO: valutazione del Garante
Preliminarmente, il Garante ha ricordato che il trattamento dei dati personali, da parte dei soggetti pubblici, deve avvenire nel rispetto delle disposizioni del Regolamento europeo per la protezione dei dati personali (GDPR) e del codice privacy adottato dall’Italia.
In particolare, il GDPR stabilisce, in primo luogo, che il titolare del trattamento e il responsabile del trattamento debbono designare sistematicamente un responsabile della protezione dei dati ogniqualvolta il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali); in secondo luogo, la predetta normativa europea stabilisce che il titolare del trattamento o il responsabile del trattamento deve pubblicare i dati di contatto del responsabile della protezione dei dati e li deve comunicare all’autorità di controllo (cioè al Garante per la protezione dei dati personali).
Secondo il Garante, dette disposizioni normative mirano a garantire che tutti gli interessati (siano essi interni al titolare o al responsabile del trattamento o siano esterni a tali soggetti) nonché le autorità di controllo (come il Garante privacy) possano contattare il Responsabile della protezione dei dati in modo facile e diretto senza doversi rivolgere a un’altra struttura che fa parte del titolare o del responsabile del trattamento.
Per permettere ai titolari e ai responsabili del trattamento di effettuare più agevolmente tale comunicazione al Garante, quest’ultimo ha messo a disposizione un’apposita procedura on line con cui è possibile comunicare i dati del DPO o anche variare detti dati e comunicare la revoca del nominativo del DPO designato.
Nel caso di specie, il Garante ha accertato che la Provincia non aveva provveduto a comunicare al Garante i dati di contatto del DPO che era stato designato dal predetto Ente, nonostante gli stessi fossero stati inseriti all’interno del sito web istituzionale.
3. La decisione del Garante
In considerazione di quanto sopra, il Garante ha ritenuto che la condotta posta in essere dalla Provincia di Sassari configuri una violazione della normativa in materia di privacy e che le argomentazioni difensive formulate dal predetto Ente, seppure meritevoli di essere tenute in considerazioni, non permettono di superare i rilievi contestati e la violazione accertata della normativa privacy e conseguentemente di archiviare il procedimento introdotto nei confronti dell’Ente.
Secondo il Garante, infatti, la mancata comunicazione al Garante dei dati di contatto del DPO da parte della Provincia, ha impedito all’autorità di controllo di poter contattare il Responsabile della protezione dei dati personali del predetto Ente in maniera facile e diretta.
Pertanto, il Garante ha confermato l’illeicità del trattamento dati posto in essere dalla Provincia, per non aver comunicato all’Autorità di controllo i dati di contatto del DPO che aveva designato e ha inflitto all’Ente una sanzione amministrativa pecuniaria.
Per quanto riguarda la quantificazione della sanzione pecuniaria, il Garante ha valutato, dal punto di vista delle circostanze aggravanti, il fatto che la condotta gli ha impedito di contattare il DPO in modo facile e diretto; mentre, dal punto di vista delle circostanze attenuanti, il fatto che la Provincia si sia attivata al fine di porre rimedio alla violazione posta in essere e di attenuarne i possibili effetti negativi (avendo provveduto a comunicare i dati di contatto del DPO al Garante) e il fatto che non risultano a carico del predetto Ente precedenti violazioni pertinenti commesse o precedenti provvedimenti sanzionatori. Infine, il Garante ha altresì tenuto in considerazione il carattere colposo della violazione posta in essere dal trasgressore.
Conseguentemente alla valutazione di tali elementi, il Garante ha quantificato la sanzione in €. 2.000 (duemila).
Scrivi un commento
Accedi per poter inserire un commento