Il 24 luglio 2023, la Commissione nazionale, riunita in formazione ristretta, ha adottato sei decisioni relative alle indagini sulla nomina di un responsabile della protezione dei dati (“DPO”) avviate nel 2022 presso i comuni.

In quattro delle sei decisioni, la Commissione nazionale in formazione ristretta ha ritenuto che le disposizioni dell’articolo 37.1 (a) del RGPD (obbligo di nominare un RPD), nonché le disposizioni dell’articolo 37. 7 del RGPD (obbligo di comunicare i dati di contatto del RPD all’autorità di controllo competente, in questo caso la CNPD) non erano state rispettate, dato che al momento dell’avvio dell’indagine i comuni in questione non avevano né nominato un RPD né comunicato i dati di contatto del RPD alla CNPD. In una quinta decisione, il CNPD ha riscontrato solo una violazione delle disposizioni dell’articolo 37.7 del RGPD, anche se al momento dell’apertura dell’indagine il comune in questione non aveva comunicato al CNPD i dati del suo RPD. Nell’ultima decisione, l’indagine è stata chiusa in quanto non è emersa una violazione del RGPD o della legge del 1° agosto 2018 sull’organizzazione della Commissione nazionale per la protezione dei dati e sul regime generale di protezione dei dati.

In cinque decisioni sono stati emessi richiami in merito alle violazioni dei suddetti articoli del GDPR ed è stato deciso di pubblicare tali decisioni sul sito web del CNPD (poiché la legge citata non prevede che i comuni siano soggetti a una sanzione amministrativa). Non sono state ordinate altre misure correttive, poiché i comuni hanno regolarizzato la loro situazione durante le indagini.

A seguito della campagna di sensibilizzazione lanciata dal CNPD in questo settore nell’agosto 2022 e delle sei decisioni sopra menzionate, tutti i comuni ora adempiono ai loro obblighi in materia di nomina di un RPD.

Le decisioni sono pubblicate sul sito web del CNPD alla voce “Decisioni“.

https://cnpd.public.lu/fr/actualites/national/2023/12/decisions-dpo-communes.html