Multata la Regione Lazio per la mancata nomina del Responsabile del Trattamento

La Regione Lazio è stata sanzionata da parte del Garante per la protezione dei dati personali per mancata nomina del Responsabile del Trattamento.

Da un’istruttoria svolta dal Garante è emerso che la Regione Lazio si avvaleva del servizio di un Call Center estero sin dal 1999. A tale Società Cooperativa era stata affidata la gestione delle prenotazioni delle prestazioni sanitarie, tramite il Call Center regionale ReCUP.

Risultava quindi che con la società di gestione non sia stata sottoscritta alcuna nomina da responsabile del trattamento dei dati. Atto indispensabile nel rapporto tra titolare e fornitore, al fine della protezione dei dati personali.

Trattamenti dati illeciti per quasi vent’anni

Dunque, il fornitore ha trattato i dati dei pazienti in modo illecito per un decennio, dal 1999 al 7 gennaio 2019. In tale data, la Regione Lazio, come titolare dei dati, ha designato formalmente la Cooperativa responsabile del trattamento.

Una nomina da Responsabile ben oltre la data di inizio di piena applicazione del GDPR (25.maggio 2018)

Rilevato l’illecito, l’Autorità ha multato la Regione Lazio per 75.000 euro ed ha applicato la sanzione accessoria della pubblicazione del provvedimento sul sito dell’Autorità.

Il provvedimento in esame del Garante ha in questo modo sottolineato l’importanza del rispetto all’articolo 28 del GDPR. Ovvero che le società che prestano servizi per conto del titolare e che di conseguenza trattano i dati personali degli utenti, devono essere designate responsabili del trattamento.

La scrittura di un contratto o atto giuridico da Responsabile del trattamento tra titolare e responsabile mira a vincolare reciprocamente le due figure. Inoltre prevede nel dettaglio le regole e i limiti con cui devono essere trattati i dati personali. Solo in questo modo, il responsabile è legittimato a trattare i dati degli interessati, ma “soltanto su istruzione documentata del titolare”.

Mancata nomina da Responsabile del trattamento

Anche il Comitato Edpb che riunisce le Autorità di protezione dati dell’Ue, ha evidenziato recentemente che l’assenza di una chiara definizione del rapporto tra titolare e responsabile può sollevare il problema della mancanza di base giuridica su cui ogni trattamento deve fondarsi. Questo riguarda ad esempio la comunicazione dei dati tra titolare e responsabile.

Relativamente alla mancata nomina da Responsabile del trattamento, il Garante ha sanzionato la Regione Lazio con 75.000 euro. Mentre ha ritenuto sufficiente ammonire il titolare della Cooperativa perché la Società aveva più volte rappresentato alla Regione la necessità di essere nominata responsabile del trattamento. Inoltre ha riconosciuto le misure messe in atto conformi alla normativa, predisponendo ad esempio, il registro dei trattamenti.

Si trattava di tentato risparmio o di incompetenza?

Chiaramente non possiamo sapere quale sia stata la causa per la quale la Regione non abbia dato ascolto al fornitore. Il motivo per cui non ha voluto stipulare un contratto da Responsabile del trattamento. Sappiamo invece che è costato caro. Inoltre si rifletterà negativamente sulla reputazione e intacca la fiducia dei cittadini nel confronto dei servizi offerti da parte della Regione.

Noi vogliamo fare chiarezza e rispondere a tante domande che, ancora oggi, non sono del tutto chiarite. Perciò offriamo un Webinar gratuito dedicato ai Sindaci e ai loro collaboratori. In un video corso di 60 minuti circa spiegheremo dettagliatamente tutti i requisiti minimi che un Comune / Regione deve rispettare per essere adempiente al regolamento europeo 679/2016.

L’iscrizione al Webinar online è aperto

Di seguito alcuni tra i più importanti argomenti trattati:

  1. le nomine
  2. il registro dei trattamenti
  3. le pubblicazioni e le reperibilità
  4. la formazione e i controlli

WEBINAR GRATUITO VENERDÌ 26 marzo 2021 ore 15:00

Fonte: Federprivacy.it