Il GDPR è pienamente in vigore dal 25 maggio 2018, ma nonostante la chiarezza del dettato normativo, ancora oggi molti enti locali faticano a rispettare uno degli adempimenti più elementari previsti dalla disciplina: la designazione e la comunicazione del Responsabile della protezione dei dati (Data Protection Officer).
Il caso del Comune di Pompei, oggetto del provvedimento n. 318 del 4 giugno 2025 del Garante, è emblematico.
L’Autorità ha infatti accertato che l’ente ha impiegato tre anni per procedere alla nomina del proprio DPO e ulteriori tre anni per comunicarne i dati di contatto all’Autorità tramite l’apposito canale istituzionale. In pratica, per sei anni dalla piena vigenza del GDPR, il Comune non ha rispettato obblighi espressamente previsti dall’art. 37, par. 1, lett. a), e par. 7 del Regolamento.
Tale condotta è stata aggravata dal fatto che né sul sito istituzionale del Comune né nei registri dell’Autorità era possibile reperire alcun riferimento al DPO. La comunicazione è avvenuta solo dopo il richiamo formale del Garante, con un ritardo tale da rendere inevitabile l’irrogazione di una misura sanzionatoria.
Il provvedimento non si limita a sanzionare un mero inadempimento formale, ma richiama l’attenzione su un fenomeno diffuso. Molti comuni, soprattutto di piccole e medie dimensioni, continuano a sottovalutare l’obbligo di designazione del Responsabile della protezione dei dati, interpretandolo come un vincolo burocratico e non come la creazione di una figura essenziale di garanzia. In realtà, questa figura è chiamata a svolgere funzioni di monitoraggio, consulenza e controllo interno che rappresentano il presupposto di qualsiasi gestione corretta e trasparente dei dati personali trattati da un ente pubblico.
Sottovalutare questa funzione significa privare l’amministrazione di un presidio interno di legalità e lasciare i cittadini senza una figura di riferimento a tutela dei loro diritti. Non va dimenticato che gli enti locali trattano quotidianamente dati di grande rilevanza: si pensi ai sistemi di videosorveglianza urbana, ai registri anagrafici, ai servizi sociali, alle banche dati tributarie.
In assenza di un Data Protection Officer proattivo e trasparente l’intera architettura della protezione dei dati rischia di rimanere priva di controllo.
Il provvedimento del Garante dimostra due verità difficilmente contestabili:
- la nomina del DPO non è più rinviabile né “sanabile” con atti tardivi;
-
l’Autorità non tollererà ulteriori inerzie, avendo ormai avviato
verifiche d’ufficio sistematiche nei confronti degli enti pubblici.
Il messaggio politico-amministrativo è quindi netto. Sei anni di ritardo non possono essere presentati come una svista o un “mero disguido”, ma costituiscono un grave inadempimento del GDPR. Non si tratta di cavilli formali, bensì di un obbligo sostanziale che incide direttamente sulla legittimità dei trattamenti effettuati dall’ente.
È evidente che la compliance in materia di protezione dei dati non può essere affidata all’improvvisazione né rimandata sine die. La nomina del DPO è il primo, imprescindibile passo per costruire un sistema di gestione dei dati realmente conforme e capace di resistere a controlli esterni. Ignorarlo significa assumersi una responsabilità diretta non solo verso l’Autorità di controllo, ma soprattutto verso i cittadini, che hanno diritto a un’amministrazione rispettosa delle regole in materia di protezione dei dati personali.
Fonte: Federprivacy (di Stefano Manzelli)
Altri articoli
