Il Garante per la protezione dei dati personali ha sanzionato la Regione Lazio per 75.000 euro per non aver nominato responsabile del trattamento dati la società cui l’Ente aveva affidato la gestione delle prenotazioni delle prestazioni sanitarie attraverso call center. La società ha quindi trattato i dati dei pazienti in modo illecito sino al 2019, anno in cui la Regione Lazio, in qualità di Titolare, ha designato formalmente la società responsabile del trattamento, ben oltre l’inizio di piena applicazione del Regolamento UE 679/2016 in materia di protezione dei dati personali.
Con il suo provvedimento il Garante Privacy ha ribadito che le società che prestano servizi per conto del titolare e che, di conseguenza, trattano i dati personali degli interessati, devono essere designate responsabili del trattamento. Il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, prevede nel dettaglio le regole e i limiti con cui devono essere trattati i dati personali. Il responsabile è, pertanto, legittimato a trattare i dati degli interessati soltanto su istruzione documentata del titolare.
Rilevato l’illecito, il Garante Privacy ha multato la Regione Lazio per 75.000 euro ed ha applicato la sanzione accessoria della pubblicazione del provvedimento sul proprio sito.
Il Garante ha ritenuto, invece, sufficiente ammonire la società in quanto questa aveva più volte rappresentato alla Regione la necessità di essere nominata responsabile del trattamento e messo in atto misure conformi alla disciplina privacy istituendo, ad esempio, il registro dei trattamenti.
