News

Il provvedimento n. 318 del 4 giugno 2025 del Garante per la protezione dei dati personali rappresenta un caso emblematico delle persistenti difficoltà che molti enti pubblici, soprattutto di piccole e medie dimensioni, continuano a incontrare nell'adeguamento alla normativa europea sulla protezione dei dati personali.

La ricostruzione dei fatti operata dal Garante rivela una situazione di inadempimento particolarmente grave. L'ente ha impiegato ben tre anni dalla piena vigenza del GDPR per procedere alla nomina del proprio Responsabile della protezione dei dati, e ulteriori tre anni per comunicarne i dati di contatto all'Autorità tramite l'apposito canale istituzionale disponibile all'indirizzo https://servizi.gpdp.it/comunicazionerpd/s/. In pratica, per sei anni dalla piena vigenza del Regolamento europeo, l'amministrazione non ha rispettato obblighi espressamente previsti dall'art. 37, par. 1, lett. a), e par. 7 del Regolamento UE 2016/679.

Tale condotta è stata aggravata dal fatto che né sul sito istituzionale dell'ente né nei registri dell'Autorità era possibile reperire alcun riferimento al DPO. La comunicazione è avvenuta solo dopo il richiamo formale del Garante, con un ritardo tale da rendere inevitabile l'irrogazione di una misura sanzionatoria. Come evidenziato nel provvedimento, la designazione del RPD risultava datata solo dopo quasi tre anni dall'entrata in vigore del Regolamento, mentre la prima comunicazione dei dati di contatto riportata nei registri dell'Autorità è avvenuta solamente oltre tre anni dopo la designazione del medesimo.

L'obbligo di designazione del DPO per gli enti pubblici trova il suo fondamento nell'art. 37 del Regolamento UE 2016/679, che stabilisce chiaramente che "il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico". La norma prosegue specificando che il titolare "pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo".

Il Garante, nel suo Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico del 29 aprile 2021, ha chiarito che sussiste l'obbligo di designazione per tutti i soggetti pubblici, compresi gli enti locali, e che la pubblicazione deve essere effettuata sul sito web dell'amministrazione, all'interno di una sezione facilmente riconoscibile dall'utente e accessibile già dalla homepage.

Il Garante ha irrogato all'ente una sanzione amministrativa pecuniaria di euro 5.000, applicando i criteri previsti dall'art. 83, par. 2, del Regolamento. Nella determinazione dell'ammontare, l'Autorità ha considerato che la mancata designazione del RPD ha privato l'ente di una figura obbligatoria ed essenziale per assicurare il rispetto del Regolamento, mentre la mancata comunicazione dei dati di contatto del RPD all'Autorità ha inciso negativamente sulla possibilità che l'Autorità contattasse il medesimo RPD in modo facile e diretto.

Tuttavia, il Garante ha anche valutato positivamente il fatto che l'ente si è attivato al fine di porre rimedio alla violazione e che non risultavano a carico dello stesso precedenti violazioni pertinenti commesse o precedenti provvedimenti, rilevando altresì il carattere colposo della violazione. La giurisprudenza di legittimità ha confermato che la determinazione dell'ammontare della sanzione pecuniaria entro i limiti edittali rientra nel potere discrezionale del Garante, che deve tenere conto dei criteri previsti dal GDPR, come evidenziato dalla Cassazione civile con ordinanza n. 28385 del 2023.

Un aspetto di particolare rilevanza del caso riguarda la piena legittimazione del Garante ad irrogare sanzioni amministrative pecuniarie anche nei confronti di autorità pubbliche e organismi pubblici. Come chiarito dalla giurisprudenza di legittimità, il Garante è legittimato ad irrogare sanzioni amministrative pecuniarie anche ad autorità pubbliche e organismi pubblici, in virtù del combinato disposto dell'art. 166 del D.Lgs. n. 196/2003 e dell'art. 83 del Regolamento UE 2016/679.

L'art. 166, comma 4, del Codice Privacy stabilisce infatti che "il procedimento per l'adozione dei provvedimenti e delle sanzioni può essere avviato, nei confronti sia di soggetti privati, sia di autorità pubbliche ed organismi pubblici", mentre il comma 3 del medesimo articolo precisa che "il Garante è l'organo competente ad adottare i provvedimenti correttivi di cui all'articolo 58, paragrafo 2, del Regolamento, nonché ad irrogare le sanzioni di cui all'articolo 83 del medesimo Regolamento".

Il provvedimento non si limita a sanzionare un mero inadempimento formale, ma richiama l'attenzione su un fenomeno diffuso. Molti comuni, soprattutto di piccole e medie dimensioni, continuano a sottovalutare l'obbligo di designazione del Responsabile della protezione dei dati, interpretandolo come un vincolo burocratico e non come la creazione di una figura essenziale di garanzia. In realtà, questa figura è chiamata a svolgere funzioni di monitoraggio, consulenza e controllo interno che rappresentano il presupposto di qualsiasi gestione corretta e trasparente dei dati personali trattati da un ente pubblico.

L'art. 39 del Regolamento definisce chiaramente i compiti del DPO, che includono informare e fornire consulenza al titolare del trattamento, sorvegliare l'osservanza del Regolamento, fornire pareri in merito alla valutazione d'impatto sulla protezione dei dati, cooperare con l'autorità di controllo e fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento.

Il caso evidenzia come, nonostante siano trascorsi oltre sette anni dall'entrata in vigore del GDPR, permangano ancora significative lacune nell'implementazione della normativa europea da parte degli enti pubblici. La designazione del DPO non rappresenta un mero adempimento formale, ma costituisce un elemento fondamentale dell'architettura di protezione dei dati personali prevista dal Regolamento europeo.

La figura del Responsabile della protezione dei dati assume particolare rilevanza negli enti pubblici, che per loro natura trattano ingenti quantità di dati personali dei cittadini nell'ambito dell'erogazione di servizi pubblici essenziali. La mancanza di questa figura di garanzia per un periodo così prolungato ha privato non solo l'ente di un presidio interno fondamentale, ma ha anche compromesso la possibilità per l'Autorità di controllo di svolgere efficacemente la propria funzione di vigilanza.

La vicenda dimostra inoltre come l'attività di controllo del Garante sia costante e capillare, raggiungendo anche le realtà amministrative più piccole e periferiche. Questo approccio sistematico è fondamentale per garantire un'applicazione uniforme della normativa europea su tutto il territorio nazionale, evitando che le differenze dimensionali o organizzative degli enti possano tradursi in disparità di tutela per i cittadini.