A seguito di un’indagine condotta dal Garante per la protezione dei dati personali, l’Autorità stessa ha sanzionato quattro enti locali (un comune, un consorzio di comuni e due province) per non aver comunicato all’Autorità stessa i dati di contatto del Responsabile della protezione dei dati (RPD o DPO nella sua accezione inglese, che sta per Data Protection Officer) designato dall’ente.
L’obbligo della comunicazione, previsto in particolar modo dall’art. 37 del Regolamento EU 2016/679 (GDPR), è finalizzato a garantire la possibilità per l’Autorità di contattare in modo semplice e diretto il DPO-RPD, figura obbligatoria per tutte le Pubbliche Amministrazioni e che annovera tra i suoi compiti anche quello di fungere da punto di contatto e di riferimento fra il titolare del trattamento e l’Autorità stessa.
Relativamente alla procedura da seguire per la comunicazione, tutti i soggetti obbligati a dotarsi di un DPO-RPD devono avvalersi esclusivamente di una procedura on line predisposta appositamente dal Garante Privacy sia per inviare i dati di contatto del DPO-RPD designato, ma anche per comunicare revoche o eventuali variazioni.
Nell’ambito dell’adempimento relativo alla comunicazione al Garante, per quanto sia strettamente in capo al titolare del trattamento, il ruolo del DPO-RPD non è certamente secondario, in quanto è di fondamentale interesse per tale figura accertarsi della definizione di tale comunicazione.
Con l’occasione il Garante ha evidenziato che è già in corso una nuova serie di controlli indirizzati ad una platea ancora più ampia di Comuni che non hanno comunicato all’Autorità i dati di contatto del DPO-RPD.