SANZIONATI DAL GARANTE, CON LO STESSO IMPORTO, IL MISE CHE NON AVEVA DESIGNATO IL DPO E LA REGIONE LAZIO CHE NON AVEVA NOMINATO IL RESPONSABILE DELLA PROTEZIONE DEI DATI (RDP/DPO)
Abstract: La mancata nomina del Responsabile per la protezione dei dati (RDP)/Data protection officer (DPO), che è sempre obbligatoria per le autorità e gli organismi pubblici pubblici e negli altri casi specifici previsti dall’art.37 del GDPR, e del Responsabile del trattamento dei dati (RTD)/Data processor (DP), definito dall’art.4 p.8 del GDPR, ha determinato la sanzione del Garante per la protezione dei dati per il Ministero dello Sviluppo Economico (RP 54 dell’11/02/2021) e per la Regione Lazio (RP 9 del 14/01/2021).
Keywords: #garanteprivacy #garanteprotezionedatipersonali #sanzioniprivacy #GDPR #mise #ministerosviluppoeconomico #regionelazio #recup #MassimilianoMancini #ethicasocietas #ethicasocietasupli
La sanzione al MISE
ll Garante per la protezione dei dati ha sanzionato per la prima voltale pubbliche amministrazioni che non hanno adempiuto alle nomine delle figure previste dal GDPR applicando ad un organo del governo e a un ente territoriale una sanzione del medesimo importo.
In particolare ha applicato la sanzione di cui al Registro Provvedimenti 54 dell’11 febbraio 2021 per l’importo di euro 75.000 al Ministero per lo Sviluppo Economico (MISE) per non avere nominato il Responsabile della protezione dati (RPD)/Data Processor Officer (DPO) entro il 28 maggio 2018, figura sempre obbligatoria per le pubbliche amministrazioni, come previsto dall’art. 37 del GDPR [1].
La sanzione alla Regione Lazio
LAutorità di controllo ha applicato la sanzione di cui al Registro Provvedimenti 9 del 14 gennaio 2021 alla Regione Lazio per l’importo di euro 75.000 per non aver nominato Responsabile del trattamento dati (RTD)/Data Processor (DP), come definito dall’art.4 punto 8 del GDPR [2] la Società Cooperativa Capodarco, alla quale l’ente territoriale aveva affidato la gestione delle prenotazioni delle prestazioni sanitarie, attraverso il call center regionale (ReCUP).
Con questo provvedimento il Garante ha ribadito che le società che prestano servizi per conto del titolare e che di conseguenza trattano i dati personali degli utenti, devono essere designate responsabili del trattamento.
Il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, prevede nel dettaglio le regole e i limiti con cui devono essere trattati i dati personali. Il responsabile è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare”.
Inoltre, come recentemente evidenziato dall’Edpb, il Comitato che riunisce le Autorità di protezione dati dell’Ue, l’assenza di una chiara definizione del rapporto tra titolare e responsabile può sollevare il problema della mancanza di base giuridica su cui ogni trattamento deve fondarsi: ad esempio, per quanto riguarda la comunicazione dei dati tra titolare e responsabile.
[1] Reg. UE/2016/679 GDPR, art.37 (Designazione del responsabile per la protezione dei dati) “1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
…omissis…”.
[2] Reg. UE/2016/679 GDPR, art.4 (Definizioni) p.8 “Ai fini del presente regolamento s’intende per:
…omissis…
8) «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;”.
GLI ALTRI ARTICOLI SULLA PRIVACY DELLO STESSO AUTORE:
DELLE VIOLAZIONI ALLA PRIVACY RISPONDONO I DIPENDENTI DELL’ENTE di M.Mancini
RIPRESE ILLECITE POLIZIA SANZIONATA DAL GARANTE di M.Mancini