La Regione Lazio è stata oggetto di sanzione da parte del Garante per la protezione dei dati personali. Da un’istruttoria svolta dal Garante, è emerso infatti come la Regione dal 1999 si sia affidata ad un call center esterno per la gestione delle prenotazioni delle prestazioni sanitarie senza che sia stata sottoscritta alcuna nomina a responsabile nei confronti del fornitore. La nomina a responsabile è infatti stata stipulata solo nel 2019, ponendo pertanto in essere un comportamento in violazione della normativa privacy per oltre un decennio.
Il provvedimento in esame del Garante ha sottolineato così l’importanza del dettato normativo dell’articolo 28 del GDPR, ovvero la previsione secondo cui le società che prestano servizi per conto del titolare e che di conseguenza trattano i dati personali degli utenti, devono essere designate responsabili del trattamento.
È importante notare come il fornitore a cui la Regione si è affidata nel corso di questo periodo per le attività di call center non sia stata sanzionata dal Garante in quanto aveva più volte rappresentato alla Regione la necessità di essere nominata quale responsabile del trattamento. Il Garante ha altresì riconosciuto come il fornitore avesse predisposto un apposito registro dei trattamenti per le attività poste in essere da responsabile del trattamento.
Relativamente alla mancata nomina a responsabile, l’Autorità Garante ha invece sanzionato la Regione Lazio per 75.000 euro, applicando altresì la misura accessoria della pubblicazione del provvedimento sul sito dell’Autorità.
Fonte: Garanteprivacy.it