di Antonio Ciccia Messina

Sanzione amministrativa per chi non nomina il responsabile della protezione dei dati. E anche per chi lo nomina in ritardo. Come è capitato al Ministero dello sviluppo economico che ha nominato il Dpo (data protection officer, traduzione inglese di responsabile della protezione dei dati) dopo il 28 maggio 2018 e dovrà pagare una multa salatissima. Il Garante della privacy, infatti, ha ordinato al Mise il versamento di 75 mila euro, cifra cumulativa in cui è anche compresa la sanzione per avere il ministero diffuso sul sito web istituzionale informazioni personali di oltre 5 mila manager. Ma la parte dell’ordinanza del Garante (provvedimento n. 54 dell’11 febbraio 2021) relativa alla nomina e comunicazione del Dpo è particolarmente importante. Lo stesso Garante riferisce che si tratta della prima volta in cui viene sanzionata una pubblica amministrazione per avere ritardato la nomina del Dpo.
Non è la prima volta, invece, in cui il Garante sanziona l’omessa comunicazione al Garante stesso dei dati di contatto del Dpo: lo aveva già fatto con il provvedimento n. 23 del 14 gennaio 2021, relativo a un comune. In ogni caso tutti i titolari di trattamento obbligati alla nomina del responsabile della protezione dei dati sono avvisati: anche le vicende del passato possono essere rimesse in discussione e si apre la strada della sanzione amministrativa. Anche per questi adempimenti formali, i quali sono accomunati in una stessa fattispecie sanzionatoria ad adempimenti sostanziali, la determinazione della sanzione è affidata al Garante nei singoli procedimenti e può essere molto pesante in termini economici. Altro adempimento formale previsto dal regolamento europeo sulla protezione dei dati n. 2016/679 (Gdpr) è rappresentato dal contratto tra impresa/pubblica amministrazione e un fornitore esterno che tratta i dati per conto del committente. In base all’articolo 28 Gdpr ci vuole un contratto scritto. Se non c’è il contratto scritto si deve applicare una sanzione amministrativa (fino a 10 milioni di euro). Come è successo alla regione Lazio, condannata al pagamento 75 mila euro, per non aver nominato responsabile del trattamento dati la cooperativa incaricata di gestire le prenotazioni delle prestazioni sanitarie, attraverso il call center regionale.

A questo proposito anche i fornitori esterni possono essere sanzionati e devono cautelarsi. Nel caso specifico la cooperativa è stata solo ammonita e non ha dovuto pagare niente, ma solo perché la stessa aveva più volte rappresentato alla regione la necessità di essere nominata responsabile del trattamento e messo in atto misure conformi alla disciplina privacy, scrivendo, ad esempio, il proprio registro dei trattamenti. A latere dei provvedimenti sull’organizzazione privacy, il Garante ha autorizzato il Ministero della salute ad attivare una nuova funzionalità dell’app Immuni che consente a una persona risultata positiva di attivare in autonomia la procedura per allertare i suoi contatti stretti (provvedimento n. 65 del 25 febbraio 2021).

© Riproduzione riservata

Fonte: