Sanzione privacy nei confronti di Regione Lazio per mancanze nell’informativa privacy

Il Garante privacy ha emesso una sanzione nel confronti della Regione Lazio per diverse mancanze nell’informativa sul trattamento dei dati personali.

Con un recente provvedimento, il Garante per la protezione dei dati personali ha irrogato una sanzione di 100.000 euro nei confronti di Regione Lazio per non avere aggiornato i dati della piattaforma utilizzata dalle Aziende Sanitarie Locali (ASL) per l’invito agli screening oncologici, rilevando numerose criticità relative al trattamento di dati personali, anche sulla salute, di oltre 5 milioni di interessati.

La vicenda trae origine dall’inoltro di un reclamo al Garante da parte di una donna che aveva ricevuto dalla ASL di Rieti un invito a partecipare al programma di screening del tumore del collo dell’utero, rivolto alla figlia deceduta nel 1995. A seguito della ricezione del reclamo, il Garante ha avviato un’istruttoria e accertato che, all’interno della piattaforma per la generazione degli inviti agli screening, la scheda “dettaglio assistito” della Piattaforma relativa alla figlia della reclamante risultava ancora regolarmente inserita.

Il Garante ha contestato a Regione Lazio:

  • il mancato rispetto dei principi di esattezza e correttezza dei dati trattati attraverso la Piattaforma;
  • la non corretta individuazione dei ruoli ricoperti dai soggetti che a vario titolo trattano dati personali attraverso la Piattaforma;
  • la non corretta individuazione di una idonea base giuridica del trattamento fra quelle previste per il trattamento di dati personali appartenenti a categorie particolari. Infatti, Regione Lazio aveva citato disposizioni che regolano i trattamenti dei dati personali diversi da quelli sulla salute (ex art. 6 GDPR anziché ex art. 9) e aveva richiamato l’art. 2 septies del Codice Privacy che non riguarda il trattamento dei dati in esame, facendo altresì riferimento a misure di garanzia per il trattamento dei dati genetici e biometrici; e
  • elementi di contraddittorietà all’interno dell’informativa sul trattamento dei dati personali che, tra le altre cose, non indica in modo puntuale i tempi di conservazione dei dati, che sono solo genericamente formulati e non tengono conto della loro necessaria differenziazione in ordine alle diverse finalità perseguite dai soggetti a vario titolo coinvolti nel trattamento.

Alla luce della documentazione e delle informazioni acquisite in sede di istruttoria, il Garante privacy ha quindi accertato la violazione delle seguenti previsioni in relazione all’informativa sul trattamento dei dati personali:

  • dei principi di liceità, correttezza e trasparenza e di esattezza del dato (ai sensi dell’art. 5, par. 1 lett. a), e d) del GPPR); e
  • delle disposizioni concernenti: (i) la responsabilità del titolare del trattamento (art. 24 del GDPR), (ii) le basi giuridiche del trattamento (artt. 6 e 9 del GDPR), (iii) le informazioni da fornire agli interessati e l’esercizio dei diritti da parte degli interessati (artt. art. 12, 13 e 14 del GDPR).

Pertanto, il Garante ha dichiarato illecito il trattamento effettuato da parte di Regione Lazio per le violazioni sopra indicate relative all’informativa privacy e ha comminato una sanzione di 100.000 euro, prescrivendo anche l’implementazione di misure correttive volte a:

  • stabilire una corretta identificazione dei ruoli, delle finalità del trattamento e delle basi giuridiche del trattamento;
  • modificare e integrare le informazioni da rendere agli interessati coinvolti nelle campagne di screening regionali tramite informativa privacy.

Questa decisione è rilevante perché mostra il livello di attenzione che il Garante pone sul livello di dettaglio e le informazioni contenute nell’informativa sul trattamento dei dati personali. Inoltre, rimarca la necessità di conformarsi al principio di limitazione della conservazione: ciò significa che le aziende dovranno avere cura di individuare tempi di data retention specifici e differenziati in ordine alle diverse finalità di volta in volta perseguite, da indicare all’interno delle informative privacy da fornire agli interessati. Non è, quindi, GDPR-compliant adottare delle indicazioni generiche sulle tempistiche di conservazione o delle formule “catch-all”, da estendere a tutti i trattamenti effettuati a prescindere dalle specifiche finalità perseguite.

Su di un simile argomento, può essere interessante il podcast “Come preparare la propria azienda ad una ispezione del Garante privacy?”.