Francia: il Garante intima ai comuni inadempienti di nominare il DPO

L’art.37 del GDPR prescrive la nomina di un data protection officer. Tale figura è quindi è obbligatoria per le pubbliche amministrazioni, anche se non tutti gli enti pubblici hanno ancora adempiuto (nonostante il fatto che il Regolamento Europeo sia operativo da ormai quattro anni). Ad evidenziare questa carenza è la CNIL, autorità per la protezione dei dati personali francese, che ha intimato a 22 comuni di nominare un DPO entro quattro mesi.

Nel giugno 2021 la CNIL aveva già messo sotto la lente i comuni francesi con più di 20.000 abitanti, inviando una segnalazione a quelli che non avevano ancora nominato un responsabile della protezione dei dati, ma a distanza di un anno i toni dell’autorità sono diventati più rigidi, inviando una formale diffida a procedere a tale nomina entro la scadenza e pubblicando sul proprio sito istituzionale la lista completa in ordine alfabetico di tutti i comuni inadempienti con tanto di link ad ogni singola comunicazione spedita a ogni amministrazione locale.

Un avviso pubblico

Come sottolinea l’autorità per la privacy francese, la decisione di informare i cittadini del mancato adempimento della nomina del DPO con un avviso pubblico contenente la black list è nata dalla “delicatezza delle missioni dei comuni e dei relativi fascicoli, e dall'importanza delle funzioni del responsabile della protezione dei dati nell'attuazione del trattamento da parte degli attori pubblici”.

Qualora i comuni non rispondessero alla diffida entro il termine indicato, la CNIL potrà a quel punto avviare i procedimenti sanzionatori, rendendo pubblici anche i relativi provvedimenti. L’intimazione pare stia sortendo gli effetti desiderati, in quanto sono già tre i comuni che sono corsi subito ai ripari comunicando la loro dichiarazione di designazione del data protection officer.