La CNIL, autorità di controllo francese, ha pubblicato sul proprio sito istituzionale la lista dei comuni destinatari della diffida a designare un responsabile della protezione dei dati entro il termine di quattro mesi, scaduto il quale sarà dato avvio ai relativi procedimenti sanzionatori qualora non si sia proceduto alla designazione. L’azione fa seguito ad un’attività di controllo svolta a giugno 2021 su tutti i comuni con oltre 20 mila abitanti che aveva già segnalato la mancata nomina del DPO. Considerata l’importanza della funzione soprattutto nelle autorità pubbliche in quanto punto di contatto per cittadini, operatori interni e stakeholder nel garantire la conformità al GDPR, l’autorità di controllo ha ritenuto di dover informare i cittadini a riguardo rendendo pubbliche le diffide inviate e le relative azioni intraprese da ciascun comune per ragioni di trasparenza istituzionale.
Tale “lista nera” o “Hall of Shame” può essere un’azione utile di persuasione e sensibilizzazione?
Se affiancata a strumenti dedicati predisposti dall’Authority a supporto dei comuni, come è in Francia, ha la funzione di rendere inescusabile una mancata nomina o una designazione non conforme ai requisiti del GDPR e precisati dalla stessa CNIL. Inoltre, rende i cittadini partecipi dello “stato di salute” della compliance del proprio comune in materia di protezione dei dati personali, parametro tutt’altro che secondario visto il volume e la sensibilità di informazioni che transitano per tali enti.
Piuttosto che una sanzione, che va vista come extrema ratio, forse l’azione di forza più opportuna è quella che richiama ad una responsabilità i vertici di un’organizzazione. A maggior ragione se è un’autorità pubblica, i cui trattamenti sono caratterizzati da larga scala e una posizione di naturale squilibrio fra titolare e interessato per cui devono essere richiamate adeguate garanzie che comportino un bilanciamento, fra cui rientra lo svolgimento della funzione del DPO.
Per l’Italia, si può sperare in un’azione analoga da parte del Garante Privacy, il quale ha piena cognizione della lista dei DPO e dei comuni, andando magari ad indagare su abnormi collezioni di incarichi da parte di singoli soggetti, o i casi più evidenti di conflitto d’interessi in cui viene designato come DPO un soggetto che è già fornitore e responsabile del trattamento (ad esempio per la gestione dei servizi informatici).
In realtà, tutto può – o forse deve – partire anche dai cittadini. Avevamo già suggerito alcuni facili controlli esperibili da chiunque. Aggiungiamo come suggerimento la possibilità di formulare una richiesta di accesso civico generalizzato (FOIA, ai sensi dell’art. 5 co. 2 d.lgs. 33/2013) qualora siano annunciati progetti di smart city wallet o analoghe modalità di trattamento massivo di dati, per conoscere un estratto della DPIA, eventuali soggetti coinvolti, nonché avere informazioni sul trattamento di dati personali con particolare riferimento a processi decisionali automatizzati.
