Francia: i comuni non hanno nominato il DPO e l'autorità per la privacy pubblica online la lista delle amministrazioni locali inadempienti
Come prescritto dall’art.37 del GDPR, la nomina di un data protection officer è obbligatoria per le pubbliche amministrazioni, ma a quanto pare non tutti gli enti pubblici hanno ancora adempiuto, nonostante che il Regolamento Europeo sia operativo da ormai quattro anni. Ad evidenziare questa carenza è la CNIL, autorità per la protezione dei dati personali francese, che ha intimato a 22 comuni di nominare un DPO entro quattro mesi.
Nel giugno 2021 la CNIL aveva già messo sotto la lente i comuni francesi con più di 20.000 abitanti, inviando una segnalazione a quelli che non avevano ancora nominato un responsabile della protezione dei dati, ma a distanza di un anno i toni dell’autorità si sono ora irrigiditi, inviando una formale diffida a procedere a tale nomina entro la scadenza, e pubblicando addirittura sul proprio sito istituzionale la lista completa in ordine alfabetico di tutti i comuni inadempienti con tanto di link ad ogni singola comunicazione spedita a ciascuna amministrazione locale.
Come sottolinea l’autorità per la privacy francese, la decisione di informare i cittadini del mancato adempimento della nomina del DPO con un avviso pubblico contenente la black list è scaturita dalla “delicatezza delle missioni dei comuni e dei relativi fascicoli, e dall'importanza delle funzioni del responsabile della protezione dei dati nell'attuazione del trattamento da parte degli attori pubblici”.
Se i comuni non risponderanno alla diffida entro il termine indicato, la CNIL potrà a quel punto avviare i procedimenti sanzionatori, rendendo pubblici anche i relativi provvedimenti. Comunque, a quanto pare l’intimazione sta funzionando, in quanto sono già tre i comuni che sono corsi subito ai ripari comunicando la loro dichiarazione di designazione del data protection officer.
