Il GDPR rende obbligatoria la nomina di un responsabile della protezione dei dati (o “DPO” ) in determinati casi, in particolare quando il trattamento dei dati personali è effettuato da un’autorità pubblica o da un ente pubblico (articolo 37 del GDPR). Tale obbligo riguarda quindi tutti gli enti locali, indipendentemente dalla loro dimensione.
Nel giugno 2021 la CNIL, che aveva concentrato la sua azione di controllo sui comuni con più di 20.000 abitanti, ha allertato coloro che non avevano nominato un responsabile della protezione dei dati. Quasi un anno dopo questo avviso, tuttavia, ha rilevato che alcuni di questi comuni non avevano ancora compiuto questo passo. Di conseguenza, il presidente della CNIL ha intimato loro di procedere a tale nomina.
I comuni interessati sono, in ordine alfabetico: Achères (78) , Auch (32) , Bastia (2B) , Beaune (21) , Bezons (95) , Bruay-la-Buissière (62) , Étampes (91) , Gagny ( 93) , Koungou (976) , Kourou (973) , Le Gosier (971) , Le Robert (972) , Montmorency (95) , Montfermeil (93) , Petit-bourg (971) , Pierrefitte-sur-Seine (93) , Saint-André (974) , Saint-Benoît (974) ,Saint-Dizier (52) , Sotteville-lès-Rouen (76) , Villeneuve-Saint-Georges (94) e Vitry-sur-Seine (94) .
Data la delicatezza delle missioni dei comuni e dei relativi fascicoli, l’importanza delle funzioni del responsabile della protezione dei dati nell’attuazione del trattamento da parte degli attori pubblici e la necessità di informare i cittadini, la CNIL ha deciso di rendere pubbliche queste diffide.
Se i comuni non si attengono alla diffida, il presidente può adire la formazione ristretta – organismo della CNIL preposto alla pronuncia delle sanzioni – che può decidere la sanzione e anche renderla pubblica.
Di seguito il link alla pagina del Garante francese: https://www.cnil.fr/fr/la-cnil-met-en-demeure-vingt-deux-communes-de-designer-un-delegue-la-protection-des-donnees