Un Comune è stato sanzionato per 6.000 euro in seguito al reclamo di un ex dipendente che lamentava la comunicazione da parte del Comune al nuovo datore di lavoro di informazioni relative alla situazione debitoria personale dell’ex dipendente stesso, in particolare informazioni relative al pignoramento di una quota dello stipendio.
Nel corso dell’istruttoria, l’autorità di controllo ha rilevato come il Comune, all’epoca dei fatti, avesse nominato quale DPO il Responsabile Affari Generali, figura apicale incompatibile con il ruolo di responsabile della protezione dei dati in quanto in conflitto di interessi. Il Garante rilevava poi la mancata comunicazione dei dati di contatto del DPO, cosa che rendeva difficile contattare questa figura sia da parte degli interessati che del Garante stesso.
A fine istruttoria, il Garante ha comminato la sanzione per trattamento illecito dei dati e per nomina del DPO in violazione dell’art. 38(6) del Regolamento. Il Comune ha giustificato la situazione affermando che la nomina era stata fatta in un periodo di carenza di personale e di difficoltà economiche (il bilancio non era stato approvato nei tempi previsti), giustificazioni che l’autorità ha ritenuto “meritevoli di considerazione” ma non sufficienti a superare i rilievi.
Le PA devono sempre designare il responsabile della protezione dei dati (anche indicato come RPD o DPO) come previsto agli artt. 37, 38 e 39 del GDPR, selezionando un soggetto sulla base delle qualità professionali e della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati (art. 37(5) GDPR), assicurandosi che gli altri compiti eventualmente svolti dal DPO non diano luogo ad un conflitto di interessi. Il processo che porta alla selezione e alla designazione del DPO va documentato.