Sanzioni da 75.000 Euro del Garante Privacy a due soggetti pubblici per mancate nomine del DPO e responsabile del trattamento.
Rosario De Marco
Data Privacy Manager and Deputy Data Protection Officer at Ford Credit and Ford of Europe | CIPP/E | LL.M Rotterdam & Hamburg | Member of the IAPP
Il Garante per la protezione dei dati personali (“Garante Privacy” o “Garante”), con la propria comunicazione periodica n. 474/2021, ha reso noto di aver sanzionato il Ministero per lo sviluppo economico (“MISE”) e la Regione Lazio, rispettivamente, per la mancata nomina di un responsabile per la protezione dei dati (“RPD” o “DPO”) e la mancata nomina di un responsabile del trattamento.
L’importo delle sanzioni comminate al MISE e alla Regione Lazio è pari a 75.000 euro (per singolo soggetto).
La sanzione al MISE
La sanzione comminata si fonda sulla contestazione, da parte del Garante, oltre della mancata nomina del DPO, della diffusione, da parte del MISE, di oltre 5.000 curriculum di manager, contenti dati personali, inclusi nome e cognome, codice fiscale, numero di telefono, e-mail e, talvolta, copia del documento d’identità e tessera sanitaria.
Il trattamento dei dati personali svolto dal MISE è stato condotto, secondo il Garante, in assenza di apposita base giuridica ed in violazione del principio fondamentale di minimizzazione dei dati e proporzionalità.
Ruolo fondamentale è stato ricoperto, anche questa volta, dalle segnalazioni degli interessi al Garante Privacy, che ha prontamente attivato la propria rete di accertamento.
La sanzione alla Regione Lazio
La sanzione alla Regione Lazio è invece riconducibile alla mancata nomina della Società Cooperativa Capodarco a responsabile del trattamento. Società che gestiva per conto della Regione le prenotazioni sanitarie.
Il Garante ha contestato alla Regione Lazio il mancato rispetto dell’obbligo di nomina a responsabile con riferimento ad un trattamento di dati personali che si è protratto per oltre dieci anni!
Infine, il Garante ha ammonito il titolare della Cooperativa Capodarco ma non ha applicato ulteriori sanzioni in quanto la stessa cooperativa aveva adottato le misure richieste dalla normativa in materia di protezione dei dati (“GDPR”) ed invitato più volte la Regione Lazio ad effettuare la nomina a responsabile del trattamento.
Gli insegnamenti per i soggetti privati
I presupposti ed i principi applicati dal Garante nelle due precedenti sanzioni possono essere agevolmente trasposti in ambito privato.
I provvedimenti sopra descritti rimarcano come sia fondamentale procedere a nominare un DPO quando obbligatorio o ritenuto opportuno dal titolare del trattamento e, altresì, verificare i rapporti con soggetti che trattano dati per conto del titolare (es. fornitori), redigendo le apposite nomine a responsabile del trattamento che includono i requisiti previsti dal GDPR.
Ricordiamo, in conclusione, che il mancato rispetto delle prescrizioni contenute nel GDPR può comportare sanzioni fino a 20 milioni di euro o 4% del fatturato globale, ingenti danni alla reputazione e richieste di risarcimento.
Per qualsiasi chiarimento ed informazione, non esitate a contattarci.
Avv. Rosario De Marco
Avv. Filippo Montanari