I recenti provvedimenti del Garante per la protezione dei dati personali, nei confronti rispettivamente della Regione Lazio e del Ministero dello Sviluppo Economico, evidenziano come tra gli adempimenti prioritari richiesti al Titolare del trattamento nel percorso di adeguamento al nuovo quadro giuridico del Reg. UE 679/2016 (GDPR) vi siano l’individuazione e tempestiva nomina delle figure privacy
Avv. Emidia Di Sabatino
Partner The Legal Match - Bologna
La Regione Lazio è stata sanzionata per 75.000 euro dal Garante Privacy per non avere nominato a responsabile del trattamento della Società Cooperativa Capodarco a cui era stata affidata la gestione delle prenotazioni delle prestazioni sanitarie, attraverso il call center regionale (ReCUP). La Regione Lazio titolare del trattamento, aveva designato formalmente la Cooperativa in qualità di responsabile del trattamento, ben oltre l’inizio di piena applicazione del GDPR, con la conseguenza che la società aveva trattato i dati dei pazienti in modo illecito per un decennio, fino alla data della formale designazione avvenuta solo nel 2019. Rilevato l’illecito, il Garante ha multato la Regione per 75.000 euro ed ha applicato la sanzione accessoria della pubblicazione del provvedimento sul sito dell’Autorità.
Come chiarisce il Garante nel provvedimento: “le società che prestano servizi per conto del titolare e che di conseguenza trattano i dati personali degli utenti, devono essere designate responsabili del trattamento. Il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, prevede nel dettaglio le regole e i limiti con cui devono essere trattati i dati personali. Il responsabile è, pertanto, legittimato a trattare i dati degli interessati soltanto su istruzione documentata del titolare”. La Cooperativa è stata invece solo ammonita in quanto aveva rappresentato al titolare del trattamento la necessità di essere nominata responsabile del trattamento e messo in atto misure conformi alla disciplina privacy, come ad esempio, la tenuta del registro dei trattamenti.
Al Ministero dello Sviluppo Economico è stata irrogata una sanzione dello stesso importo per avere nominato in ritardo il Responsabile della protezione dati (DPO) e per avere diffuso sul sito web istituzionale informazioni personali di oltre cinquemila manager.
All’esito della istruttoria è emersa anche la presenza sul sito del Ministero di una pagina web con un elenco di manager nella quale erano visibili e liberamente scaricabili i dati personali di più di cinquemila professionisti (nominativo, codice fiscale, e-mail, curriculum vitae integrale con telefono cellulare e, in alcuni casi copia del documento di riconoscimento e della tessera sanitaria). Il Garante ha ritenuto che la pubblicazione integrale dei curricula, senza alcun filtro, rappresenti un trattamento di dati personali sproporzionato e, quindi, in violazione dei principi del GDPR, suggerendo strumenti meno invasivi, come l’applicazione di forme di accesso selettivo ad aree riservate del sito, al fine di evitare di esporre i professionisti ad utilizzi illeciti dei loro dati da parte di terzi (es. furti d’identità, profilazione illecita, phishing etc.)