Il Garante sanziona la mancata nomina del DPO nei termini previsti dal GDPR

Il Garante per la protezione dei dati personali, con provv. dell’11 febbraio 2021, ha sanzionato con 75.000 Euro il Ministero dello Sviluppo Economico (MISE) per la mancata nomina del DPO nel termine di prima applicazione del GDPR (28 maggio 2018) e per la diffusione di dati personali relativi a oltre 5.000 manager, senza adeguata base giuridica.

La nomina del DPO e la comunicazione dei dati di contatto del DPO al Garante era avvenuta con notevole ritardo rispetto ai termini previsti dal GDPR.

Come si legge nella Newsletter del Garante dell’11 marzo 2021,

Il Garante per la privacy ha ordinato al Mise il pagamento di una sanzione di 75mila euro per non avere nominato il Responsabile della protezione dati (Rpd) entro il 28 maggio 2018, data di piena applicazione del Gdpr, e avere diffuso sul sito web istituzionale informazioni personali di oltre 5mila manager. 

Per la prima volta l’Autorità ha sanzionato una Pa per non avere designato il Rdp entro il termine stabilito ed avere provveduto alla nomina e alla comunicazione al Garante dei dati di contatto con notevole ritardo. 

(…) La mancata nomina, è emersa nel corso di una istruttoria, aperta dall’Ufficio anche a seguito di alcune segnalazioni, con la quale è stata accertata la presenza sul sito del Ministero di una pagina web con un elenco di manager nella quale erano visibili e liberamente scaricabili i dati personali di più di cinquemila professionisti: nominativo, codice fiscale, e-mail, curriculum vitae integrale con telefono cellulare e, in alcuni casi copia del documento di riconoscimento e della tessera sanitaria.  All’elenco avrebbero dovuto attingere le piccole e medie imprese, destinatarie dei voucher previsti dalla legge di bilancio 2019, per l’acquisto di consulenze volte a sostenere i processi di trasformazione tecnologica e digitale.

Previous Article
Next Article