Il Garante della privacy, con suo provvedimento nr. 318 del 4 giugno 2025, è ritornato sulla particolare situazione della mancata nomina del DPO, da parte degli enti tenuti a farla.

Nallo specifico l’Autorità, svolgendo un’azione di controllo nei confronti di un comune, ha constatato un ritardo di tre anni nel procedere alla nomina del proprio DPO, nonché tre ulteriori anni di attesa prima che venissero comunicati i dati di contatto all’Autorità tramite l’apposito canale on line istituzionale.

In pratica, per sei anni dalla piena vigenza del GDPR, il Comune non aveva rispettato gli specifici obblighi contenuti nell’art. 37, par. 1, lett. a), e par. 7 del GDPR.

Ad aggravare la condotta ha contribuito il fatto che sul sito istituzionale del Comune non era possibile reperire alcun riferimento del DPO. La comunicazione è avvenuta solo dopo il richiamo formale del Garante, con un ritardo tale da rendere inevitabile l’irrogazione di una misura sanzionatoria.

Ciò che è rilevante segnalare della pronuncia del Garante, oltre aspetto sanzionatorio, è che l’Autorità ha ricordato che non saranno più tollerati ulteriori ritardi né inerzie nella nomina della figura del DPO, prevedendo sicure verifiche sistematiche certe nei confronti degli enti pubblici.

Ricordiamo agli Enti, infine, di non trascurare, nel rispetto del principio privacy di trasparenza (art.5 GDPR), l’inserimento dei dati di contatto del DPO sui loro siti, meglio se in posizioni comode da raggiungere, come ad esempio il footer delle home page, o in pagine dedicate alla privacy raggiungibili sempre dalla prima pagina.