NEWS

La CNIL multa comune della Guyana francese per mancata nomina del Responsabile della protezione dei dati

Nel maggio 2022 la CNIL, Autorità Garante della Francia, diede notizia della procedura avviata nei confronti di 22 comuni che non avevano provveduto a nominare il proprio Responsabile della Protezione dei Dati (RPD), figura la cui presenza è obbligatoriamente prevista per i titolari che siano autorità e organismi pubblici, quale che ne sia la dimensione.

La CNIL multa comune della Guyana francese per mancata nomina del Responsabile della protezione dei dati

Di fronte a tale previsione, come quella di altre norme anche europee, ad es. il whistleblowing, che impongono – in materie essenziali per la tutela dei singoli e della collettività – ruoli e procedure che implicano oneri organizzativi, le entità più piccole possono presumibilmente incontrare difficoltà nel destinare risorse.

Le stesse norme consentono comunque di ricorrere anche a risorse esterne, in assenza di specialisti interni (come nel caso del RPD) o a meccanismi comuni, come nel caso del canale di segnalazione per il whistleblowing, in modo da ottimizzare i costi.

La CNIL, forse anche alla luce di tale difficoltà, affrontò la questione in maniera non immediatamente sanzionatoria bensì invitando i 22 comuni a ottemperare entro 4 mesi alla carenza rilevata. Quindi adottò un approccio graduale, definibile di tipo “nudge“, peraltro del tutto in linea con l’art. 58 punto 2.d del GDPR secondo cui l’Autorità garante può “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine”.

Nel caso di un lontano comune, Kourou (nella Guyana francese, un dipartimento della Francia d'oltremare situata in Sud America, tra il Suriname e il Brasile e bagnato dall'Oceano Atlantico) che ha circa 25.000 abitanti ed è sede di uno spazioporto di cui si avvale anche l’Agenzia Spaziale Europea, i quattro mesi sono trascorsi nel silenzio, senza alcun riscontro.

A fronte di ciò la CNIL, che ha tenuto aperto il fascicolo e di nuovo intrattenuto inutilmente il comune, visto che il ruolo di RPD ha continuato a restare scoperto di recente ha comminato in forma pubblica una multa di 5.000 euro e un'ingiunzione di conformarsi entro due mesi, accompagnata da una sanzione di 150 euro per giorno di ritardo.

Ancora non siamo giunti alla conclusione di questa vicenda che, però, è anche interessante per diversi motivi:

- anche in Paesi la cui compliance amministrativa è ritenuta più solida di quella italiana, ci sono casi di scarsa sensibilità ad osservare disposizioni a tutela del cittadino;
- la dimensione organizzativa non può essere una giustificazione a non osservare norme dispositive, atteso che realtà anche più piccole di quella menzionata hanno provveduto a nominare la RPD;
- la privacy è un processo tuttora in itinere se proprio le entità che dovrebbero essere più rispettose dei diritti in realtà non danno rilevanza alla stessa (se il RPD ha un senso e un ruolo chiediamoci quale possa essere la tutela della privacy in sua assenza);
- infine, come dato di connotazione, esiste un avamposto per l’applicazione del GDPR, costituito dalle regioni ultraperiferiche anche fuori il continente europeo, ma dove il diritto europeo deve essere egualmente applicato, come la CNIL sta cercando di fare.

Sotto un profilo più generale questa vicenda induce a formulare uno spunto propositivo: la nomina del RPD, ruolo su cui molto si sta parlando per ben inquadrarlo in questo periodo, dovrebbe registrare una presenza diffusa, a cinque anni ricordiamolo dall’entrata in vigore del GDPR. Ma non sempre è così: forse è giunto il tempo che, non solo in Italia ma a livello europeo, venga condotta una rilevazione compiuta per tale adempimento che non è solo un fatto formale ma sostanziale per una corretta architettura della privacy.

Una eventuale rilevazione da non demandare solo alle Autorità Garanti e all’EDPB, impegnate su molteplici versanti e con risorse limitate, ma da condurre sotto l’egida delle istituzioni europee, la Commissione in primis. E non tanto per fini sanzionatori ma piuttosto per promuoverne ancora una volta la rilevanza.

Infine, proprio perché interessati direttamente, tutti i cittadini quando si trovassero a rilevare situazioni di vuoto in tale posizione, dovrebbero segnalarlo alla propria Autorità Garante di riferimento che potranno così vagliare se ci sono gli estremi per avviare eventuali azioni ex art. 58 del GDPR (e, in Italia, ricorrere al potere di segnalazione, concesso a tutti, ai sensi dell’art. 144 del Codice Privacy).

Note Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Prev Brasile: Burger King usa il riconoscimento facciale per regalare sconti ai clienti che alzano il gomito
Next L'UE riconosce come adeguata al GDPR la legge svizzera sulla protezione dei dati

Privacy Day Forum 2024: intervista a Guido Scorza

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy