La sanzione comminata alla Regione Lazio dal Garante della privacy e’ importante per quattro motivi

Il primo motivo perche’  si ribadisce la necessita’ di contrattualizzare tutti i responsabili del trattamento dei dati personali esterni rispetto all’organizzazione ai sensi dell’art. 28 del Regolamento europeo GDPR n. 2016/679

Il secondo motivo e’ che implicitamente la sanzione del Garante dovrebbe porre fine a chi ancora parla di responsabili del trattamento come di soggetti interni all’organizzazione. 

Il terzo motivo e’ costituito dalla sanzione che punisce una nomina eseguita in ritardo, il 7 gennaio 2019 rispetto al 25 maggio 2018 data di operativita’ delle disposizioni del GDPR.

Il quarto motivo e’ costituito dall’importanza del registro delle attivita’ di trattamento tenuto dal  responsabile del trattamento, adempimento che ha permesso alla cooperativa che gestiva il servizio per la Regione Lazio di non essere assoggettata a sanzione dal Garante.

E passiamo al provvedimento sanzionatorio.

Il Garante per la protezione dei dati personali ha sanzionato la Regione Lazio per 75.000 euro per non aver nominato responsabile del trattamento dati la Società Cooperativa Capodarco, a cui l’Ente aveva affidato la gestione delle prenotazioni delle prestazioni sanitarie, attraverso il call center regionale (ReCUP).

La società ha dunque trattato i dati dei pazienti in modo illecito per un decennio, dal 1999 al 7 gennaio 2019, data in cui la Regione Lazio, in qualità di titolare, ha designato formalmente la Cooperativa responsabile del trattamento, ben oltre l’inizio di piena applicazione del Regolamento europeo in materia di protezione dei dati personali.

Con il provvedimento il Garante ha ribadito che le società che prestano servizi per conto del titolare e che di conseguenza trattano i dati personali degli utenti, devono essere designate responsabili del trattamento.

Il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, prevede nel dettaglio le regole e i limiti con cui devono essere trattati i dati personali. Il responsabile è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare”.

Inoltre, come recentemente evidenziato dall’Edpb, il Comitato che riunisce le Autorità di protezione dati dell’Ue, l’assenza di una chiara definizione del rapporto tra titolare e responsabile può sollevare il problema della mancanza di base giuridica su cui ogni trattamento deve fondarsi: ad esempio, per quanto riguarda la comunicazione dei dati tra titolare e responsabile.

Rilevato l’illecito, l’Autorità ha multato la Regione per 75.000 euro ed ha applicato la sanzione accessoria della pubblicazione del provvedimento sul sito dell’Autorità.

Il Garante ha ritenuto invece sufficiente ammonire il titolare della Cooperativa perché la Società Capodarco aveva più volte rappresentato alla Regione la necessità di essere nominata responsabile del trattamento e messo in atto misure conformi alla disciplina privacy, istituendo, ad esempio, il registro dei trattamenti.

Dott. Igino Addari
DPO

 

Fonte: Garante privacy

 

 

 

 

 

Actaprivacy software online per l’adempimento del GDPR

Per l’attuazione degli obblighi richiesti dal nuovo Regolamento UE Software web based ActaPrivacy per la gestione degli adempimenti previsti per la protezione dei dati personali dal GDPR 2016/679. 

 

   

ACTAINFO Servizi informativi e telematici

Fornitore abilitato al MEPA – Mercato Elettronico della Pubblica Amministrazione. 
Realizzazione, gestione, fornitura di: siti web, servizi privacy, firme digitali, marche temporali, PEC, conservazione digitale, archiviazione

    

 

Leggi anche

Accessibilità dei siti web e delle app di soggetti privati con fatturato medio superiore a € 500 milioni

Il DL 76/2020 ha esteso al settore privato alcuni obblighi sull’accessibilità, previsti già dalla Legge 4/2004 per le Pubbliche Amministrazioni, ai soggetti che offrono servizi al pubblico, attraverso siti web o applicazioni mobili, con un fatturato medio, negli ultimi tre anni di attività, superiore a 500 milioni di euro, con l’obiettivo di consentire la più ampia […]

PNRR: Proroga Avvisi in scadenza app IO, pagoPA e SPID/CIE

Con Decreto del Capo Dipartimento è stata prorogata la data di scadenza di alcuni Avvisi previsti per l’implementazione delle misure 1.4.3 (app IO e pagoPA) e 1.4.4 (SPID/CIE). Di seguito il dettaglio: Potete trovare QUI tutti i dettagli di ogni avviso con la relativa documentazione scaricabile. Fonte PA Digitale 2026

Scadenza 31 gennaio Amministrazione trasparente: Obblighi di pubblicazione e invio dati delle PA ad Anac. Modalità operative 2023

Dataset ANAC

A partire da febbraio 2023 saranno effettuati i tentativi di accesso automatizzato alle URL comunicate dalle Amministrazioni per l’acquisizione dei file xml pubblicati riportanti i CIG utilizzati nell’anno di riferimento. A riguardo, si consiglia di verificare che tutti i file xml generati siano accessibili e rispettino le specifiche tecniche definite dall’Autorità. Il dettaglio dell’esito dell’ultimo tentativo […]