L’Autorité Italienne de Protection de Données a sanctionné la Région Lazio pour 75.000 euro pour ne pas avoir nommé délégué à la protection des données la Société Coopérative Capodarco, à laquelle l’Organisme avait confié la gestion des réservations des prestations médicales, par l’intermédiaire du centre d’appels régional (ReCUP).
La société a donc traité les données des patients de manière illicite pendant une décennie, de 1999 au 7 janvier 2019, date à laquelle la Région Lazio, en tant que titulaire, a désigné formellement la Coopérative délégué à la protection des données, bien au-delà du début de la pleine application du règlement européen sur la protection des données personnelles.
Par cette mesure, l’Autorité a réaffirmé que les entreprises qui fournissent des services pour le compte du titulaire et qui, par conséquent, traitent les données personnelles des utilisateurs, doivent être désignées responsables du traitement. La relation entre le titulaire et le responsable doit être régie par un contrat ou un autre acte juridique, conclu par écrit qui, outre qu’il lie les deux figures, prévoit dans le détail les règles et les limites avec lesquelles les données à caractère personnel doivent être traitées. Le responsable est donc habilité à traiter les données des personnes concernées « uniquement sur instruction documentée du titulaire ».
En outre, comme l’a récemment souligné l’EDPB, le comité réunissant les autorités européennes de protection des données, l’absence de définition claire de la relation entre le titulaire et le responsable peut soulever le problème de l’absence de base juridique sur laquelle tout traitement doit se fonder, par exemple en ce qui concerne la communication des données entre le titulaire et le responsable.
Après avoir constaté l’illégalité, l’Autorité a condamné la Région à une amende de 75000 euros et a appliqué la sanction accessoire de la publication de la mesure sur le site de l’Autorité.
L’Autorité a estimé en revanche suffisant d’avertir le titulaire de la Coopérative parce que la Société Capodarco avait plusieurs fois représenté à la Région la nécessité d’être nommée délégué à la protection des données et mis en œuvre des mesures conformes à la discipline privacy, en établissant, par exemple, le registre des traitements.
SOURCE: FEDERPRIVACY