Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Newsletter del 18 marzo 2010

• P.a.: Carta nazionale dei servizi e tutele per i cittadini • No a dati sanitari dei dipendenti sui siti delle aziende • No alla profilazione occulta • Sistema dei visti e garanzie a protezione dei dati

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1703462
Data:
18/03/10
Tipologia:
Newsletter

 
Continua_Alto
P.a.: Carta nazionale dei servizi e tutele per i cittadini
Il Garante per la protezione dei dati personali ha dato via libera allo schema di decreto sulle modalità di assorbimento della tessera sanitaria nella carta nazionale dei servizi, predisposto dal Ministro per la pubblica amministrazione e l'innovazione, ma ha chiesto alcune garanzie  per rafforzare la tutela dei dati dei cittadini: in particolare, misure di sicurezza e procedure uniformi per l'attivazione e la gestione della carta.
 
Il decreto consente alle Regioni,  mediante il ricorso ad un'unica tessera con microprocessore (smart card) che riunisce le funzioni di tessera sanitaria (TS) e carta nazionale dei servizi (CNS), di diffondere con modalità omogenee uno strumento sicuro per l'accesso ai servizi in rete. Sino ad oggi tale strumento elettronico "multiuso", infatti, è stato adottato in forma sperimentale e con modalità diverse solo in alcuni Comuni e Regioni, permettendo ai cittadini l'accesso telematico ai differenti servizi di volta in volta offerti dalla pubblica amministrazione (prenotazione di prestazioni specialistiche, pagamenti di ticket sanitari on-line, accesso ai servizi dei Centri per l'impiego, visualizzazione dei propri dati fiscali, verifica delle pratiche edilizie etc.).
 
Il Garante, nell'esprimere parere favorevole sullo schema di decreto, ha chiesto che tutte le regioni e le province autonome di Trento e Bolzano, che decideranno di avvalersi del nuovo strumento, adottino gli standard di sicurezza previsti dal Codice privacy e procedure uniformi di attivazione e gestione delle carte. L'Agenzia delle entrate dovrà mettere a disposizione delle pubbliche amministrazioni coinvolte nell'erogazione dei servizi CNS solo le informazioni indispensabili per tale erogazione, evitando così l'accesso a dati non pertinenti.. Per evitare che si instauri un flusso informativo diretto tra le singole Asl e l'Anagrafe tributaria non previsto dalla normativa vigente, il Garante ha suggerito che i dati anagrafici e i codici fiscali del cittadino, necessari per l'attribuzione della tessera, siano aggiornati dalle stesse Asl mediante consultazione dell'apposito archivio regionale.
 
 
Continua_Alto
No a dati sanitari dei dipendenti sui siti delle aziende
Il Garante impone a una società di rimuovere i dati sulla salute di un dirigente pubblicati on line
Il Garante privacy ha vietato ad una società l'ulteriore diffusione dei dati sulla salute di un dirigente pubblicati sul sito dell'azienda e liberamente reperibili nel web.
 
Il provvedimento (di cui è stato relatore Giuseppe Chiaravalloti) è stato adottato in seguito alla segnalazione del dirigente che, dopo aver ricevuto comunicazione della risoluzione del rapporto di lavoro, è venuto a conoscenza di un comunicato stampa, pubblicato su una pagina del sito dedicata agli investitori, dove erano riportati nome, cognome, informazioni sul suo stato di salute e sull'assenza dal lavoro dovuta a uno "stato morbile".
 
Il dirigente aveva anche lamentato come a causa del comunicato stampa, veicolato a un numero elevatissimo di soggetti attraverso il sistema Nis (Network information system) di Borsa Italiana e Consob (il circuito telematico che permette alle agenzie di stampa di ricevere i comunicati delle società aderenti), incontrasse difficoltà nel proprio reinserimento professionale.
 
Dal canto suo la società ha giustificato il proprio operato appellandosi alla necessità di chiarezza e trasparenza richiesta dal mercato nel quale opera.
 
Nel motivare la sua decisione, il Garante ha ribadito che la diffusione delle informazioni idonee a rilevare lo stato di salute è vietata dal Codice Privacy e ha sottolineato che la richiamata esigenza di trasparenza avrebbe potuto essere ugualmente perseguita dalla società omettendo nel comunicato stampa l'indicazione delle condizioni di salute del dirigente. L'azienda ha adempiuto entro i tempi stabiliti al provvedimento del Garante rimuovendo i dati dal sito.
Continua_Alto
No alla profilazione occulta
Per creare profili dei clienti in base ai loro gusti e alle loro abitudini o utilizzare i loro dati personali a fini di marketing, le aziende devono chiedere uno specifico consenso.
 
E' per questo motivo che il Garante, con un provvedimento di cui è stato relatore Mauro Paissan, ha vietato ad una società che opera nel settore dell'energia elettrica e del gas in alcune province del Nord Italia, l'ulteriore trattamento dei dati personali della clientela raccolti illecitamente.
 
In seguito all'attività ispettiva avviata dall'Autorità, è emerso infatti che la società sottoponeva alla clientela un modello di richiesta di consenso unico sia per la fornitura del servizio richiesto (consenso peraltro non necessario quando si tratta di obblighi contrattuali), sia in ordine a diversi scopi per i quali i dati venivano raccolti e utilizzati: analisi delle abitudini e scelte di consumo; invio ai clienti di informazioni commerciali; ricerche di mercato (realizzate anche con la collaborazione di terzi attraverso lettere, telefono, e-mail); attività dirette di vendita o di collocamento di prodotti e servizi.
 
La normativa sulla privacy stabilisce, invece, che la richiesta di consenso non può avere carattere generico: gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei propri dati personali, manifestando un consenso specifico per ciascuna distinta finalità perseguita dal titolare.
L'Autorità ha dunque vietato l'ulteriore trattamento illecito dei dati, ferma restando la loro utilizzabilità per la fornitura dei servizi richiesti. Alla società, che ha provveduto tempestivamente, è stato inoltre imposto di riformulare il modello di informativa e di  trasmetterne esemplare al Garante.
 
Continua_Alto
Sistema dei visti  e garanzie a protezione dei dati
Il Garante chiede accessi selettivi alla banca dati del VIS e controlli periodici

Il Garante ha approvato lo schema di decreto interministeriale per l'attuazione del Sistema di Informazione Visti (VIS) con il quale si rende operativo, sulla base di una Decisione del Consiglio dell'UE, lo scambio di dati relativi alle domande di visto tra gli Stati membri. Lo schema di decreto designa il Garante per la protezione dati quale Autorità di controllo nazionale sul sistema VIS.
 
Il Sistema di Informazione Visti si compone di un Sistema di informazione centrale (CS-VIS) che comunica con punti di collegamento presenti in ciascuno degli Stati membri (N-VIS presso il Ministero degli Esteri e I-VIS presso il Ministero dell'Interno). I flussi informativi  tra il CS-VIS e i soggetti che necessitano di poter disporre dei dati (ministeri competenti, Polizia di Stato, Polizia di frontiera) vengono realizzati attraverso un sistema denominato FEVIS. Nel data base VIS sono contenuti, in particolare, i dati personali dei soggetti che fanno richiesta di rilascio del visto (sia alfanumerici, sia biometrici, come volto e impronte) e le annotazioni concernenti il visto richiesto e le operazioni eseguite.
 
Il Sistema di Informazione Visti ha anche la funzione di facilitare i controlli ai valichi di frontiera, di agevolare l'iter delle domande d'asilo presentate da cittadini di Paesi terzi, di concorrere alla prevenzione di minacce alla sicurezza degli Stati membri.
 
Nel dare parere favorevole sullo schema di decreto, l'Autorità ha invitato il Ministero ad adottare alcune specifiche misure a tutela delle persone. Il Ministero degli Affari Esteri dovrà innanzitutto assicurarsi che regole e procedure di ingresso al sistema siano tali da consentire l'accesso selettivo ai soli dati pertinenti e necessari, limitando a casi specifici la possibilità di conservazione.
 
L'Autorità ha inoltre raccomandato alle Amministrazioni interessate di attribuire al sistema FEVIS un ruolo di semplice interfaccia, escludendo ogni forma di memorizzazione locale dei dati in transito, garantendo che la consultazione dei relativi log sia svolta da un numero ristretto di incaricati e che la loro conservazione sia priva di riferimenti ai dati personali raccolti. Periodiche attività di auditing interne dovranno essere svolte sugli accessi anche al fine di isolare anomalie di funzionamento. Lo stesso Garante effettuerà verifiche con cadenza annuale. I report svolti sulle attività VIS dovranno avere carattere statistico e contenere dati nella sola forma aggregata.

 

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.752 - Fax: 06.69677.755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it