Garante per la protezione dei dati personali (Garante) har bötfällt region Lazio med 100 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Garante inlett en utredning efter ett klagomål från en enskild. Den klagande hade fått en inbjudan från den lokala hälsovårdsmyndigheten i Rieti att delta i screeningprogrammet för livmoderhalscancer, riktad till dennes dotter som avlidit 1995.
Enligt Garante har de lokala hälsomyndigheterna använt en regional plattform som innehåller alla parametrar som krävs för att skapa inbjudningar och genomföra screeningkampanjerna. Den klagandes dotter var enligt Garante fortfarande registrerad i den regionala plattformen i fråga, trots att hon avlidit flera år tidigare.
Garante konstaterade att regionen inte följt principerna om laglighet, korrekthet och öppenhet enligt artikel 5.1 (a) GDPR och om uppgifternas korrekthet enligt artikel 5.1 (d) GDPR. Vidare har regionen enligt Garante felaktigt identifierat de rättsliga grunderna för behandlingen enligt artiklarna 6 och 9 GDPR, och vilka roller olika aktörer har vid behandlingen av personuppgifter via den regionala plattformen enligt artikel 24 GDPR.
I detta avseende noterade Garante att regionen, i egenskap av personuppgiftsansvarig, måste se till att de personuppgifter som regionen innehar är korrekta och vid behov uppdaterade, och vidta alla rimliga åtgärder för att radera eller korrigera den information som regionen använder i god tid. Garante konstaterade också att regionen, när den skickade inbjudningsbreven för screening, inte gett de registrerade den information som krävs om behandlingen av deras personuppgifter enligt artiklarna 12, 13 och 14 GDPR.
Mot bakgrund av de fastställda omständigheterna ålade Garante regionen böter på 100 000 euro. Vid kvantifieringen av detta belopp angav Garante att myndigheten bland annat hade tagit hänsyn till att regionen redan tidigare ålagts sanktionsavgifter för brister vid behandling av personuppgifter. Garante beordrade också regionen att korrekt identifiera roller och de rättsliga grunderna för behandlingen samt att ändra och integrera den information som ska göras tillgänglig för de registrerade.