Con il provv. 12 maggio 2022 n. 174, l’Autorità garante per la protezione dei dati personali ha sanzionato per seimila euro un Comune all’esito di un’istruttoria con cui ha accertato l’illiceità di un trattamento di dati personali e, per la prima volta, la mancanza di una valida designazione di un responsabile della protezione dei dati.
Il procedimento ha avuto origine dal reclamo presentato da parte di un ex dipendente del Comune riguardante alcune comunicazioni di dati personali concernenti il pignoramento del quinto dello stipendio. Il Responsabile di Settore del Comune ha comunicato tali informazioni al nuovo datore di lavoro, ed in particolare la “circostanza che lo stesso avesse un debito nei confronti dell’istituto bancario in questione, incluse informazioni di dettaglio relative al pignoramento di quota dello stipendio e al residuo della somma da pagare, nonché informazioni relative alla gestione del precedente rapporto di lavoro”. Non solo: il Comune ha altresì informato l’istituto bancario creditore – per erronea convinzione che fosse un atto dovuto – non solo della cessazione del rapporto di lavoro, bensì anche di “una serie di ulteriori informazioni di carattere personale a questo riferite (proroga del periodo di aspettativa; specifica ragione della cessazione del rapporto di lavoro per dimissioni volontarie; estremi del nuovo datore di lavoro), che non risultano necessarie e giustificate alla luce del quadro normativo che disciplina l’istituto del pignoramento presso terzi e gli obblighi del datore di lavoro, in qualità di terzo pignorato”. Considerati tali primi rilievi, è stata così riscontrata l’assenza di una valida base giuridica.
Per quanto riguarda l’aspetto relativo al DPO, inizialmente il Comune aveva indicato informalmente il responsabile del settore Affari Generali (ruolo apicale per cui sussiste un conflitto di interessi insanabile), formalizzandone poi la nomina con l’adozione di una determinazione sindacale ribadendone il carattere di temporaneità “nelle more di individuare idonea figura esterna”, successivamente designata nel corso dell’istruttoria da parte Garante con però una tardiva comunicazione all’Authority e senza la pubblicazione dei dati di contatto della funzione non rendendolo così facilmente raggiungibile dagli interessati. Le difficoltà finanziarie e la scarsa dotazione di personale rappresentate non sono stati rilievi sufficienti per il superamento delle violazioni contestate riguardanti la mancata designazione, la posizione di conflitto d’interessi del soggetto pur designato con nomina temporanea nonché le omissioni riguardanti la comunicazione della designazione all’autorità di controllo e la pubblicazione dei dati di contatto all’interno del sito web o all’interno delle determinazioni.
Questa prima sanzione non solo ribadisce l’importanza di tale figura e la sua corretta individuazione, ma che forse può essere un valido stimolo per ciascun cittadino affinché sia consapevole nel controllare e segnalare le più evidenti anomalie riguardanti il DPO del proprio Comune.
di Stefano Gazzella (Infosec.news)