g-docweb-display Portlet

Newsletter del 12 dicembre 2012

Stampa Stampa Stampa

 
 


Lavoro: più riservatezza negli accessi al protocollo informatico

I documenti contenenti i dati personali dei dipendenti conoscibili solo da personale autorizzato

 

L´accesso alle informazioni relative ai dipendenti acquisiste nel  protocollo informatico, il sistema in cui si registrano i documenti in entrata e in uscita di un´azienda o di una Pa, deve essere limitato al solo personale specificamente incaricato della gestione di determinati dati personali dei lavoratori.  Lo ha affermato il Garante privacy in un  provvedimento [doc. web 2097560] con il quale ha prescritto all´Ente nazionale per l´aviazione civile (Enac) alcune misure per la messa in sicurezza dei dati personali contenuti nel proprio protocollo informatico.

Dagli accertamenti svolti dall´Autorità, anche presso le sedi di Roma e Milano, è emerso che in ragione delle modalità di utilizzo del protocollo elettronico così come configurato dall´Enac,  a seguito di scelte organizzative adottate presso la sede di Malpensa, un ampio numero di dipendenti poteva venire a conoscenza di dati personali, anche relativi all´esecuzione della prestazione lavorativa (permessi per la legge 104/92, permessi studio, documentazione riguardante sussidi per l´accesso a mense scolastiche o borse di studio, contestazioni disciplinari), riferiti a propri colleghi, indipendentemente dalle mansioni svolte.

L´intervento dell´Autorità, avviato su segnalazione di una dipendente, ha consentito di accertare  la violazione di alcune disposizioni della norma in materia di misure minime di sicurezza  del sistema di gestione documentale,  poiché non erano stati individuati e configurati i profili di autorizzazione dei diversi incaricati, così da limitare l´accesso ai dati relativi ai dipendenti al solo personale assegnato a questo compito.  L´Autorità ha quindi prescritto all´Enac  di conformarsi alla normativa configurando opportunamente il protocollo informatico in modo da segmentare la visibilità dei documenti e dei fascicoli relativi al personale ai soli dipendenti incaricati del trattamento dei dati.

L´Enac inoltre, dovrà svolgere un´attività formativa indirizzata al personale della sede di Malpensa che utilizza il sistema di gestione documentale, illustrandone compiutamente le funzionalità e le implicazioni in materia di protezione dei dati. Copia del provvedimento è stata inviata alla  magistratura per le valutazioni di competenza in ordine alla violazione della disciplina di protezione dei dati personali relativa alle misure minime di sicurezza.

 

 



Sì all´Amministrazione aperta, ma senza diffondere dati sulla salute

 

Il Garante per la privacy ha richiamato alcune amministrazioni sanitarie alla corretta applicazione delle novità normative introdotte dalla legge di conversione (n.134 del 7/8/2012) del cosiddetto "Decreto Sviluppo 2012", vietando la diffusione online dei dati sulla salute dei pazienti.

Le aziende sanitarie chiedevano in particolare se l´articolo 18 della legge, che introduce nuove disposizioni in tema di agenda digitale e trasparenza nella Pubblica Amministrazione, le obbligasse a pubblicare su internet anche i dati dei pazienti che hanno ad esempio ricevuto indennizzi per danni irreversibili (come il contagio da epatite o Hiv) causati da vaccinazioni o dalla somministrazione di emoderivati, rimborsi per cure di altissima specializzazione, interventi assistenziali o altri contributi legati a patologie mediche certificate.

L´Autorità ha chiarito che, per quanto riguarda le persone fisiche, l´articolo citato prevede la pubblicazione online solo dei dati di chi riceve "corrispettivi o compensi" dalla Pubblica Amministrazione e che deve in ogni caso essere interpretato alla luce dei principi fondamentali in materia di protezione dei dati personali, cristallizzati in disposizioni comunitarie che vincolano il nostro legislatore.

Il Garante ha ribadito che è il Codice della privacy vieta ai soggetti pubblici la diffusione di dati idonei a rivelare lo stato della salute di una persona e che le informazioni citate non possono essere pubblicate sul sito web delle Ausl o di altri enti.

Ha ricordato infine che tutte le pubbliche amministrazioni, nel predisporre il proprio sito Internet, devono sempre rispettare le apposite cautele indicate nelle "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web", approvate dal Garante nel 2011.

 



Violazioni della privacy all´estero: interviene il Garante

 

Nuovi interventi del Garante per la protezione dei dati personali a tutela dei cittadini la cui privacy è stata violata da imprese con sede all´estero. Sono sempre più frequenti, infatti, le segnalazioni di persone che non hanno gli strumenti per potersi difendere nei confronti di violazioni commesse da società aventi sede fuori dal territorio nazionale o comunitario.

Il Garante della privacy italiano si è attivato ad esempio nei confronti della società che gestisce la nota social-community on-line www.badoo.com. Una ragazza minorenne italiana si era lamentata, infatti, che alcune sue fotografie pubblicate su un altro sito di social network erano state utilizzate da un terzo per creare un´identità fittizia su Badoo. La società, su richiesta del Garante, ha deciso di rimuovere spontaneamente il falso profilo. L´Autorità italiana si è comunque riservata, se dovessero emergere altre violazioni, di chiedere l´intervento dell´Information Commissioner, competente sul territorio del Regno Unito.

In un altro caso, in cooperazione con il suo omologo tedesco, il Garante ha chiesto alla Federal Trade Commission (FTC), l´Autorità statunitense competente anche per le violazioni della privacy, di accertare le modalità di trattamento dei dati personali effettuato dal sito statunitense www. couchsurfing.com. Numerose persone, infatti, si sono lamentate di come la società che gestisce il portale abbia modificato le privacy policy del servizio di "scambio di ospitalità" fornito mediante il web: gli utenti del sito in questione non avrebbero più alcun controllo sui propri dati, e-mail e fotografie gestiti tramite il sito.

Va segnalata infine la richiesta di cooperazione al Privacy Commissioner canadese affinché venga individuato chi gestisce il servizio offerto dal sito www.trovanumeri.com  che, ad una prima istruttoria preliminare, parrebbe ospitato dal server di una società canadese. In particolare, numerosi cittadini si sono lamentati della diffusione sul web, senza consenso e senza possibilità di opposizione, dei propri dati personali (quali: nome e cognome, indirizzo e numero di telefono).



Videosorveglianza e tutela del patrimonio artistico

Nei musei delle Marche le telecamere potranno conservare le immagini più a lungo

 

I musei delle Marche di Ancona, Numana, Urbisaglia ed Ascoli Piceno potranno conservare per trenta giorni le immagini raccolte dai sistemi di videosorveglianza, per specifiche e comprovate esigenze di sicurezza.

Lo ha stabilito [provv. doc. web 2138277] il Garante per la protezione dei dati personali che ha accolto la richiesta della Soprintendenza marchigiana per i beni archeologici di poter prolungare il tempo di conservazione delle immagini per un periodo superiore a quello previsto dal provvedimento generale in materia di videosorveglianza adottato nel 2010 dall´Autorità. La richiesta della Soprintendenza era supportata da una istanza del Comando Legione dei Carabinieri "Marche" nella quale si affermava l´esigenza di conservare per trenta giorni le videocassette con le immagini riprese da telecamere allo scopo di prevenire ed eventualmente reprimere sottrazioni di opere d´arte di interesse storico artistico presenti nei musei e pianificare la vigilanza presso siti che potrebbero essere maggiormente esposti a minacce terroristiche.

Nel dare il via libera alla possibilità di conservare le immagini per trenta giorni, l´Autorità ha spiegato che il periodo di 24 ore previsto per la conservazione delle immagini, estendibile in alcuni casi per un massimo di una settimana, può essere allungato per un periodo ulteriore in presenza di concrete situazioni di rischio riguardanti eventi realmente incombenti e comunque previa verifica preliminare da sottoporre alla stessa Autorità. L´allungamento del periodo di conservazione può essere previsto anche nei casi in cui vi sia necessità di aderire alla richiesta dell´autorità giudiziaria o della polizia, motivata da un´attività investigativa in corso.

 

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it