L’Autorità Garante del Lussemburgo (Commission nationale pour la protection des données, CNPD) sin dal 2018 ha svolto una procedura di indagine, a tema responsabile della protezione dei dati (cd. data protection officer o DPO), coinvolgendo sia il settore pubblico che quello privato, mediante una serie di audit.
Nello svolgimento dell’audit di un ente pubblico sottoposto al controllo ministeriale, l’Autorità ha individuato per la prima volta dall’emanazione del Regolamento (UE) 679/2016, un preciso parametro valutativo dell’esperienza del DPO punto di vista temporale. Nello specifico, partendo dalle Linee guida sui responsabili della protezione dei dati pubblicati dal Gruppo di lavoro art.29, facendo poi riferimento all’art. 37 par.5 GDPR e il considerando n. 97 presente nel medesimo testo, ha indicato quale esperienza minima nel campo della protezione dei dati di tre anni. Trattatasi invero di un’indicazione inerente alla specifica realtà analizzata, in cui il trattamento dei dati risulta molto complesso in ragione del fatto che si tratta di una società sottoposta al controllo di un ministero.
La sanzione – pari a euro 18.000,00 – è altresì dovuta in ragione della difficoltà che gli interessati avevano nel contattare il DPO, in quanto erano di difficile individuazione i suoi dati di contatto, nonché a causa della redazione dell’informativa privacy del sito web nella sola lingua inglese.
Il provvedimento sottolinea altresì l’importanza del coinvolgimento attivo del responsabile della protezione dei dati all’interno dell’organizzazione; l’obbligo per il titolare di fornire risorse sufficienti in termini di tempo, budget, accesso alle informazioni; l’importanza della formalizzazione di un piano di controllo relativo alla protezione dei dati.
