Garante per la protezione dei dati personali, provvedimento n. 362 del 31 agosto 2023

Con segnalazione presentata al Garante è stato rappresentato che il Comune aveva designato, quale Responsabile della protezione dei dati personali (di seguito, il “RPD”), l’ing. XX, direttore amministrativo della società Y S.p.A., interamente partecipata dal predetto Comune. Secondo quanto rappresentato nella segnalazione, la predetta società già effettuava, per conto del Comune, trattamenti di dati personali in campo informatico, in qualità di responsabile del trattamento ai sensi dell’art. 28 del Regolamento (UE) 2016/679, dando adito, in questo modo, ad un possibile conflitto di interessi.

Sulla base degli elementi acquisiti a seguito dell’attività istruttoria svolta, nonché delle successive valutazioni, risulta accertato che il Comune ha designato quale RPD, un soggetto che si trovava in una posizione di conflitto di interessi ai sensi dell’art. 38, par. 6, del Regolamento.

Risulta, pertanto, accertato in atti che la designazione del predetto RPD è avvenuta in violazione dell’art. 38, par. 6, del Regolamento – in connessione con gli artt. 28, 29 e 38, par. 3, e alla luce del cons. 97 del medesimo Regolamento – per aver designato quale RPD un soggetto che si trova in conflitto di interessi in quanto titolare di un incarico che concorre all’adozione di decisioni fondamentali sui trattamenti all’interno della Società designata quale responsabile del trattamento da parte del Comune.