By order no. 9 of 14 January 2021, the Authority for protection personal data imposed a fine of €75,000.00 on the Lazio Region for failing to appoint a company in charge of a call centre service as a data processor. The activity at issue concerned the processing of users’ data through the portal “Salute Lazio,” with a regional call centre service for the booking of health services (ReCUP), entrusted to a cooperative company since 1999.
In particular, the processing of personal data through the ReCUP service had been carried out, as from the date of complete application of Regulation (EU) 2016/679 (GDPR), without the data controller, Regione Lazio, having properly appointed the company in charge of the aforementioned service as a data processor, under Article 28 of the aforementioned Regulation.
Although the conduct constituting the alleged infringement originated before the complete application of the GDPR, the applicable provision was identified by the Authority based on the principle of legality set out in Article 1(2) of Law No 689/1981, according to which “Laws providing for administrative sanctions shall be applied only in the cases and times considered therein.” In application of the principle “tempus regit actum”, therefore, underlined the Authority – considering the permanent nature of the contested conduct – the moment of the violation must be identified in the moment of cessation of the illicit conduct, which lasted at least until 7 January 2019, and therefore in an era after 25 May 2018, the date on which the Regulation became applicable.
The figure of the data controller is expressly provided for by the GDPR, in Article 4(8), among the subjects operating in the context of the processing of personal data, as “the natural or legal person, public authority, service or other body that processes personal data on behalf of the controller”.
Well, the infringement at issue, in this case, is reflected in Article 28(3) of the GDPR, which provides that persons who process data on behalf of the owner must be designated as data controllers. The controller must be appointed in writing by contract or other legal transaction. Therefore, the contract in question will identify the two figures of data controller and data, regulating in detail their relationship concerning the processing of personal data. The controller must also process the personal data of the data subjects ‘only on the basis of documented instructions from the co-based on European Data Protection Board has also expressed this view in its Guidelines 07/2020 on the concepts of controller and processor in the GDPR, in point 101. In the Guidelines mentioned above, the Committee underlines that, where the data controller does not appoint the data processor by contract or by an appropriate written act, there is a breach of Article 28(3) of the GDPR. The same violation, the Committee specifies, is detectable in case of failure to update contracts or agreements for existing relationships on the processing of personal data, which arose at a time before the date of application of the GDPR.
The European Data Protection Board has, however, pointed out in the Guidelines in question that the presence or absence of a written appointment does not affect, per se, the actual existence of a relationship between the controller and the person in charge of the processing of personal data in general. A contract or other legal act in writing is, in fact, subject to the existence of a relationship between the controller and the processor, which must be concretely identifiable in advance. In any event, the lack of a written agreement as required by Article 28(3) of the GDPR, in addition to constituting the breach at issue in this case, could give rise to serious difficulties in identifying the legal basis of the processing, for instance regarding the communication from the controller to the processor of the data subject to the processing itself.
In the light of the reasons set out above, the Authority found that the processing carried out by the Lazio Region was unlawful because it infringed Articles 5(2) and 28(3) of the GDPR.
However, the Authority only issued a warning to the company involved, given the latter’s proven compliance with the general principle of accountability. The company mentioned above had repeatedly urged the Lazio Region to appoint it as a responsible person, as required by the relevant legislation. Moreover, the Authority considered that the company’s diligence from a privacy point of view was sufficiently proven since it had adopted measures complying with the applicable regulations, including, in particular, the correct establishment of the Register of processing activities.
****
FIGURE SOGGETTIVE DEL TRATTAMENTO DATI: SANZIONE DEL GARANTE ALLA REGIONE LAZIO PER OMESSA NOMINA DEL RESPONSABILE
Con provvedimento n. 9 del 14.01.2021 il Garante per la protezione dei dati personali ha inflitto una sanzione di € 75.000,00 alla Regione Lazio per non aver provveduto alla nomina a responsabile del trattamento di una società incaricata di un servizio di call center. L’attività in discussione riguardava il trattamento di dati personali degli utenti attraverso il portale “Salute Lazio”, con servizio di call center regionale per la prenotazione delle prestazioni sanitarie (ReCUP), affidata ad una società cooperativa già dal 1999.
In particolare, il trattamento dei dati personali attraverso il servizio ReCUP era stato realizzato, a decorrere dalla data di piena applicazione del Regolamento (UE) 2016/679 (GDPR), senza che il titolare, Regione Lazio, avesse correttamente nominato la società incaricata del servizio suddetto quale responsabile del trattamento, ai sensi dell’art. 28 del sopracitato Regolamento.
Sebbene la condotta integrante la violazione contestata abbia avuto origine in un momento precedente alla piena applicazione del GDPR, la norma applicabile è stata individuata dal Garante sulla base del principio di legalità di cui all’art. 1, comma 2, della Legge n. 689/1981, a mente del quale “Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati”. In applicazione del principio “tempus regit actum”, quindi, ha sottolineato il Garante – considerata la natura permanente della condotta contestata – il momento della violazione deve essere individuato nel momento di cessazione della condotta illecita, protrattasi almeno fino al 7 gennaio 2019, e pertanto in epoca successiva al 25 maggio 2018, data in cui il Regolamento è divenuto applicabile.
La figura del responsabile del trattamento è espressamente prevista dal GDPR, all’art. 4, n. 8, tra i soggetti operanti nell’ambito del trattamento di dati personali, come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Ebbene, la violazione oggetto della vicenda in esame trova riscontro all’art. 28, par. 3, del GDPR, ove si prevede che i soggetti che trattano dati per conto del titolare debbano essere designati quali responsabili del trattamento. Il responsabile deve essere nominato per iscritto tramite contratto o altro negozio giuridico. Il contratto in questione, pertanto, andrà ad individuare le due figure di titolare e responsabile, oltre a regolare nel dettaglio il loro rapporto con riferimento al trattamento dei dati personali. Inoltre, il responsabile dovrà trattare i dati personali degli interessati “soltanto su istruzione documentata del titolare”.
Si è espresso in tal senso anche il Comitato Europeo per la protezione dei dati nelle Linee Guida 07/2020 sui concetti di titolare e responsabile nel GDPR, al punto 101. Nelle Linee Guida suddette, infatti, il Comitato sottolinea che, ove il titolare del trattamento non provveda a nominare il responsabile con contratto o idoneo atto scritto, sussiste una violazione dell’art. 28, par. 3, del GDPR. La medesima violazione, precisa il Comitato, è ravvisabile in caso di mancato aggiornamento di contratti o accordi per rapporti in essere sul trattamento dei dati personali, sorti in momento precedente alla data di applicazione del GDPR.
Il Comitato Europeo per la protezione dei dati ha tuttavia evidenziato, nelle Linee Guida in parola, che la presenza o l’assenza di una nomina per iscritto non incide, di per sé, sull’effettiva esistenza di un rapporto tra titolare e responsabile in relazione al trattamento dei dati personali in generale. Il contratto o altro atto giuridico in forma scritta sono, infatti, subordinati alla sussistenza di un rapporto tra titolare e responsabile, che deve essere concretamente identificabile a priori. In ogni caso, la mancanza di un accordo scritto come richiesto dall’art. 28, par. 3, del GDPR, oltre a costituire la violazione oggetto del caso in esame, potrebbe determinare serie difficoltà nell’individuazione della base giuridica del trattamento, ad esempio con riferimento alla comunicazione dal titolare al responsabile dei dati oggetto del trattamento stesso.
Alla luce delle ragioni esposte, il Garante ha rilevato l’illiceità del trattamento condotto dalla Regione Lazio per violazione degli artt. 5, par. 2 e 28, par. 3, del GDPR.
Il Garante ha provveduto, invece, con il solo ammonimento nei confronti della società coinvolta, stante la comprovata osservanza da parte di quest’ultima del principio generale di accountability. Infatti, la società suddetta aveva più volte sollecitato la Regione Lazio a provvedere nei propri confronti alla nomina a responsabile, come richiesto dalla normativa di riferimento. L’Autorità, inoltre, ha ritenuto sufficientemente provata la diligenza da parte della società sotto il profilo privacy, avendo questa adottato le misure conformi alla vigente disciplina in materia, tra cui, in particolare, la corretta istituzione del Registro delle attività di trattamento.