Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Newsletter del 4.2.16 - Sanità on line, attenzione ai dati degli assistiti - Tlc, no alla pesca a strascico sul web per formare gli elenchi telefonici

• Sanità on line, attenzione ai dati degli assistiti
• Tlc, no alla pesca a strascico sul web per formare gli elenchi telefonici
• Ok condizionato del Garante al monitoraggio della rete di assistenza sanitaria

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
4644612
Data:
04/02/16
Tipologia:
Newsletter

 


Sanità on line, attenzione ai dati degli assistiti
Intervento urgente del Garante privacy per bloccare eventuali accessi illeciti al portale di una Asl

 

Chiunque poteva consultare e modificare i dati degli assistiti che si erano registrati al portale di una Asl e il Garante della privacy interviene d'urgenza a bloccare [doc. web n. 4630534] la sezione del sito e fermare la violazione della riservatezza. 

L'anomalia segnalata all'Autorità era stata scoperta per caso da un utente mentre utilizzava i servizi on-line  offerti dall'Azienda sanitaria. Non occorreva essere pirati informatici per accedere ai dati di altre persone: era sufficiente compilare a caso - anche inserendo parte di un nome o di un cognome - uno dei campi di ricerca presenti nella sezione dedicata agli assistiti per consultare tutte le schede anagrafiche trovate, nelle quali erano riportati l'indirizzo di residenza, il codice fiscale o il numero di telefono degli assistiti.

Non solo. Dai riscontri effettuati dal Garante, è emerso che qualunque utente, senza trovarsi di fronte ad alcun filtro,  poteva addirittura modificare questi dati o cancellare l'account delle persone che si erano registrate sul sito.

Nel provvedimento con il quale ha vietato l'ulteriore diffusione dei dati, il Garante ha ricordato che le pubbliche amministrazioni che offrono servizi in rete sono obbligate ad adottare misure di sicurezza per ridurre al minimo i rischi di accesso non autorizzato o di trattamenti di dati non consentiti. Sul sito della Asl, al contrario, non era presente neppure una procedura di identificazione informatica che consentisse l'individuazione del soggetto che richiedeva il servizio on line, in modo tale da limitare al solo interessato l'accesso ai dati personali che lo riguardano.

L'Autorità ha imposto alla Azienda sanitaria locale di intervenire entro 48 ore dalla ricezione del provvedimento per risolvere il problema.Prescrizione che la Asl ha prontamente adempiuto, bloccando l'accesso indiscriminato ai dati. Non sono però state ancora accertate le cause dell'errato funzionamento del portale sanitario,che potrebbero essere legate a errori di impostazione o di progettazione informatica del sistema, come pure ad attacchi hacker  dall'esterno.

L'Autorità si è riservata di approfondire il caso,  ma al contempo ha avviato un autonomo procedimento sanzionatorio contro la Asl per le violazioni riscontrate.

 

Tlc, no alla pesca a strascico sul web per formare gli elenchi telefonici
Il Garante blocca un sito che trattava in modo illecito i dati di oltre 12 milioni di persone

 
No ai software che "pescano" on line in maniera sistematica e indiscriminata dati e informazioni per realizzare elenchi telefonici. Le società che intendono costituire questo tipo di pubblicazione, cartacea o on line, devono utilizzare il data base unico (dbu), l'archivio elettronico che raccoglie  numeri di telefono e  altri dati dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile. In alternativa,  devono acquisire il consenso libero, informato, specifico per ogni finalità che si intende perseguire (come la consultazione on line dell'elenco o la "ricerca inversa" delle generalità di un abbonato attraverso il numero di telefono).
 
Questi principi sono stati ribaditi dal Garante privacy che ha dichiarato illecito e ha vietato ad una società la formazione e la diffusione on line di un elenco telefonico contenente dati di oltre 12.500.000 persone non raccolti dal dbu ma da altri siti web (mediante web scraping) senza il consenso degli utenti. I dati trattati in modo illecito dovranno essere cancellati dalla società.
 
Le numerose segnalazioni pervenute all'Autorità lamentavano la diffusione sul sito della società di un elenco telefonico on line contenente vari dati personali (nome e cognome, indirizzo, recapito telefonico, a volte anche utenze riservate, numero di cellulare o indirizzo email) raccolti senza consenso. Alcuni segnalanti, inoltre, associavano la ricezione di telefonate promozionali indesiderate alla messa a disposizione dei propri dati sul sito. Dagli accertamenti effettuati è emerso che la società gestiva un sito in cui aggregava e rendeva disponibili i numeri di telefonia fissa e altri dati personali raccolti in maniera automatica e sistematica attraverso script  lanciati direttamente sulle fonti web acquisendone i contenuti (web scraping). Gli script, come affermato dalla società, erano impostati in modo tale da raccogliere qualsiasi informazione pubblicata su fonti web accessibili a tutti, per poi metterla a disposizione degli utenti del sito della società.
 
Nel disporre il divieto il Garante ha riaffermato le regole sulla formazione degli elenchi telefonici  e ha ritenuto la pubblicazione on line di un elenco telefonico non tratto dal dbu e senza il consenso degli interessati un trattamento particolarmente invasivo per l'agevole reperibilità dei dati anche mediante i più comuni motori di ricerca e per la possibilità che essi possano essere utilizzati anche per ulteriori trattamenti (ad es. marketing indesiderato).
 
L'Autorità sta valutando l'applicazione di una sanzione amministrativa per gli illeciti commessi dalla società.
 

 

 

 



Ok condizionato del Garante al monitoraggio della rete di assistenza sanitaria

 

Parere favorevole [doc. web n. 4630606] del Garante privacy, seppure condizionato ad alcune modifiche e integrazioni, ad uno schema di decreto del Ministero della salute che riguarda l'istituzione del sistema informativo per il Monitoraggio della Rete di Assistenza (MRA), nell'ambito del Nuovo Sistema Informativo Sanitario (NSIS).

Il sistema MRA si prefigge di favorire il raggiungimento di obiettivi di governo da parte dei diversi livelli interessati (ministeriale, regionale e aziende sanitarie) anche al fine di razionalizzare la spesa, e di informare i cittadini sulla rete di assistenza sanitaria nel nostro paese.

Il sistema di monitoraggio opererà istituendo un'unica anagrafe di riferimento a livello nazionale di tutte le strutture della rete sanitaria (ASL, strutture di ricovero autorizzate, strutture territoriali accreditate, farmacie pubbliche e private convenzionate, strutture territoriali autorizzate e non accreditate, medici di medicina generale e pediatri di libera scelta convenzionati con il Sistema sanitario nazionale).

Il MRA consentirà la consultazione delle informazioni, in forma analitica e aggregata alle Regioni e alle Province autonome, al Ministero della salute, al Ministero dell'economia e delle finanze, all'Agenzia nazionale per i servizi sanitari regionali, all'ISTAT.

I dati del Sistema MRA potranno inoltre essere messi a disposizione di soggetti appositamente autorizzati dalla Direzione generale della digitalizzazione del Ministero della Salute, cui è affidata la realizzazione e la gestione del sistema e ai cittadini mediante il sito internet dello stesso Ministero. Esaminato lo schema, il Garante ha segnalato l'esigenza di apportare alcune mirate modifiche e integrazioni per conformare il testo alle garanzie in materia di protezione dei dati personali.

L'Autorità ha chiesto, ad esempio, di precisare quali dati personali saranno resi disponibili sul sito del Ministero, nel rispetto dei principi di pertinenza e non eccedenza. Potrebbe infatti non essere giustificata la pubblicazione on line del codice fiscale del medico, che comporterebbe il rischio di furto d'identità.

Il Garante ha chiesto inoltre di chiarire i ruoli e le responsabilità delle Regioni e Province autonome, da un lato, e del Ministero della salute, dall'altro, rispetto al flusso delle informazioni che riguardano i medici di medicina generale e i pediatri di libera scelta; di indicare i tempi di conservazione dei dati personali, trascorsi i quali i dati devono essere cancellati o resi anonimi; di individuare le informazioni contenute nei file di log con cui si registrano gli accessi; di precisarne i tempi di conservazione e di  proteggerli con idonee misure contro ogni uso improprio.

 

 

L'ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

 


NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it