Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 20 000 euro mot Comune di Nepi överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att kommunen publicerat ett dokument som innehöll en rangordningslista från ett urvalsprov för en offentlig tävling. Rangordningslistan innehöll personuppgifter om deltagarna. Kommunen ignorerade upprepade förfrågningar om att ta bort listan då kommunen ansåg att det företag som kommunen gett i uppdrag att behandla uppgifterna var ansvarigt för denna del av sidan. Enligt avtalet som fanns mellan parterna var det dock kommunen själv som var ansvarig.
Garante konstaterade att kommunen inte hade någon giltig rättslig grund för att publicera personuppgifterna. Enligt Garante utgjorde detta en överträdelse av principen om laglighet enligt artikel 5.1 (a) GDPR, samt kravet på rättslig grund enligt artiklarna 6.1 (c) och 6.2 GDPR. Garante konstaterade också att kommunen inte på ett korrekt sätt reglerat personuppgiftsbiträdets behandling av personuppgifter enligt artikel 28.3 (a) GDPR.