Attraverso la propria newsletter del 3 ottobre 2022, il Garante per la protezione dei dati personali ha annunciato di aver emesso, il 15 settembre 2022, il provvedimento n. 304, con il quale ha inflitto una sanzione pecuniaria di 100.000 euro alla Regione Lazio per la violazione di molteplici disposizioni del Regolamento (UE) 679/2016 (GDPR) nel contesto della gestione di una campagna di screening oncologici.
Tale provvedimento, in particolare, discende da un’istruttoria avviata a seguito di un reclamo di una donna che aveva lamentato all’Autorità di aver ricevuto dalla Asl di Rieti un invito a partecipare al programma di screening del tumore del collo dell’utero, rivolto alla figlia deceduta nel 1995.
A conclusione dell’istruttoria, il Garante ha rilevato che, per la realizzazione delle campagne di screening, le Asl avevano utilizzato una piattaforma regionale che contiene tutti i parametri necessari a generare gli inviti per le campagne medesime. Sulla base di ciò, il Garante ha constatato che la figlia del ricorrente era ancora regolarmente registrata nella piattaforma regionale in questione, nonostante fosse deceduta da tempo.
Il Garante, quindi, al termine dei propri approfondimenti ha accertato che, relativamente alla succitata campagna, la Regione Lazio:
- non aveva rispettato i principi di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), del GDPR) e di esattezza dei dati (art. 5, par. 1, lett. d), del GDPR);
- aveva erroneamente individuato le basi giuridiche del trattamento, nonché i ruoli svolti dai soggetti che, a vario titolo, trattavano i dati personali attraverso la piattaforma regionale;
- non aveva fornito correttamente agli interessati le informazioni richieste sul trattamento dei loro dati personali (articoli 12, 13 e 14 del GDPR).