Il Garante ha comminato una sanzione alla Regione Lazio pari ad € 75.000 per non aver nominato Responsabile del trattamento dati la Società Cooperativa Capodarco, a cui l’Ente aveva affidato la gestione delle prenotazioni delle prestazioni sanitarie, attraverso il call center regionale (ReCUP).

La società Cooperativa Capodarco ha trattato i dati dei pazienti in modo illecito per un decennio, infatti dal 1999 solo il 7 gennaio 2019 la Regione Lazio, in qualità di titolare, ha designato formalmente la Cooperativa responsabile del trattamento, a distanza di parecchio tempo dall’applicazione del GDPR.

Con il provvedimento il Garante ha ribadito che le società che prestano servizi per conto del titolare e che di conseguenza trattano i dati personali degli utenti, devono essere designate responsabili del trattamento.

Infatti, il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, prevede nel dettaglio le regole e i limiti con cui devono essere trattati i dati personali.

Il responsabile è, pertanto, legittimato a trattare i dati degli interessati soltanto su istruzione documentata del titolare.

Il Garante ha ritenuto invece sufficiente ammonire il titolare della Cooperativa perché la Società Capodarco aveva più volte rappresentato alla Regione la necessità di essere nominata responsabile del trattamento e messo in atto misure conformi alla disciplina privacy, istituendo, ad esempio, il registro dei trattamenti.

La sanzione comminata alla Regione Lazio dal Garante della privacy pone in evidenza alcuni aspetti molto importanti.

In primo luogo si ribadisce la necessità di contrattualizzare tutti i responsabili del trattamento dei dati personali esterni rispetto all’organizzazione (art. 28 GDPR n. 2016/679).

In secundis si evidenzia come la sanzione può essere comminata anche a chi nomina in ritardo il responsabile del trattamento.

Infine emerge l’importanza del registro delle attività di trattamento tenuto dal responsabile del trattamento, adempimento che ha permesso alla cooperativa che gestiva il servizio per la Regione Lazio di non essere assoggettata a sanzione dal Garante.