L’Autorità Garante ha sanzionato la Regione Lazio con una sanzione amministrativa da 75.000 Euro per la mancata nomina di un Responsabile di trattamento.
La Regione Lazio ha affidato la gestione delle prenotazioni delle prestazioni sanitarie ad una società cooperativa che fornisce il servizio call center.
La Regione agisce come Titolare del trattamento e l’affidamento presuppone che la società esterna tratti dati per conto della Regione.
Quando un soggetto esterno tratta dati per conto del Titolare del trattamento, quest’ultimo è a tutti gli effetti un Responsabile esterno che deve essere incaricato per iscritto; può trattare i dati “soltanto su istruzione documentata del Titolare”, pertanto se viene meno la nomina, sicuramente mancano anche le istruzioni documentate richieste dal Regolamento.
Inoltre, come acclarato dalle recenti Linee Guida EDPB, l’assenza di una chiara definizione dei rapporti tra Titolare e Responsabile può far decadere la base giuridica del trattamento, poiché le modalità di trasferimento dei dati tra i due soggetti non viene stata definita correttamente.
Se il Titolare di trattamento affida tutta o una parte del trattamento ad un soggetto esterno, è essenziale quindi che il soggetto sia nominato e istruito in maniera documentata su come deve trattare i dati.
In ambito condominiale è richiesta la medesima impostazione: il condominio è Titolare di trattamento, ma affida il trattamento dei dati all’Amministratore, il quale figura come Responsabile del trattamento, poiché tratta i dati per conto del condominio su indicazione dell’assemblea.
E’ necessario pertanto che l’amministratore venga nominato formalmente ed a sua volta, siccome nello svolgimento delle attività richieste quotidianamente dal condominio trasferisce dati a soggetti esterni che trattano dati come ad esempio, i consulenti ed i manutentori, è necessario che anche questi ultimi vengano nominati ed opportunamente istruiti.