Un’azienda operante in Italia può subire sanzioni per non avere nominato un DPO – Data Protection Officer in base all’articolo 83 del GDPR 2016/679.
L’articolo 83 del GDPR prevede che le autorità di controllo possano imporre sanzioni amministrative fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’ente, se superiore, nei casi di violazione dei principi di cui all’articolo 5, comma 2.
Il principio di accountability, di cui all’articolo 5, comma 2, lettera f), prevede che il titolare del trattamento e il responsabile del trattamento siano responsabili del rispetto del GDPR e siano in grado di dimostrare tale conformità.
La nomina di un DPO è uno dei requisiti fondamentali per la conformità al GDPR, in quanto il DPO è il garante della protezione dei dati personali all’interno dell’organizzazione.
Il Garante Privacy italiano, con la delibera n. 13 del 23 novembre 2020, ha chiarito che la mancata nomina di un DPO costituisce una violazione del principio di accountability e può essere sanzionata dall’autorità di controllo.
In particolare, il Garante ha affermato che:
la violazione dell’obbligo di nomina del DPO può essere sanzionata con una sanzione amministrativa pecuniaria da un minimo di 20.000 euro a un massimo di 100.000 euro;la sanzione può essere incrementata fino al 2% del fatturato mondiale annuo dell’ente, se superiore, nel caso in cui la violazione sia stata commessa con dolo o colpa grave;la sanzione può essere ridotta fino al 40% se l’ente ha adottato misure per rimediare alla violazione prima che l’autorità di controllo abbia aperto un procedimento sanzionatorio.
Pertanto, è importante che le aziende italiane che trattano dati personali nominino un DPO, in modo da evitare il rischio di incorrere in sanzioni.
Ecco alcuni consigli per le aziende che devono nominare un DPO:
individuare un DPO qualificato, con esperienza e competenze specifiche in materia di protezione dei dati personali;formalizzare la nomina del DPO, con un atto scritto;assegnare al DPO i compiti e le responsabilità previsti dal GDPR;fornire al DPO le risorse e le risorse necessarie per svolgere le proprie funzioni.