g-docweb-display Portlet

Newsletter del 25 febbraio 2014 - Lotta alle violazioni della privacy: cresce l'attività ispettiva del Garante

Stampa Stampa Stampa

 


Lotta alle violazioni della privacy: cresce l´attività ispettiva del Garante
Per il 2014 programmati controlli su call center all´estero e mobile payment

 

A che punto è il rispetto della privacy in Italia? Una risposta può venire dal resoconto sull´attività ispettiva e sanzionatoria del Garante nel 2013 dalla quale risulta che utenti e cittadini vengono  ancora poco informati da aziende e Pa sull´uso dei loro dati personali, che sono ancora troppi i casi in cui le informazioni personali vengono usate senza il consenso degli interessati, e che c´è ancora poca attenzione alla messa in sicurezza dei dati personali da parte di chi li raccoglie, li usa e li gestisce. Il bilancio dei controlli del Garante nello scorso anno ha registrato un incremento in tutti i settori: le ispezioni effettuate sono state 411 e le somme riscosse dall´erario da parte di soggetti pubblici e privati sono state di oltre 4 milioni di euro. In forte crescita le segnalazioni all´Autorità giudiziaria  per violazioni penali che sono state 71.

I 411 accertamenti (+4% rispetto al 2012), effettuati anche mediante il contributo delle Unità Speciali della Guardia di finanza - Nucleo speciale privacy, hanno riguardato settori sui quali il Garante concentra da tempo una particolare attenzione: call center e telefonate promozionali indesiderate, banche dati del fisco, credito al consumo e "centrali rischi", sistema informativo dell´Inps, sanità. Ma si sono estesi anche alle reti telematiche con ispezioni sull´uso dei sistemi di localizzazione satellitare (gps) nell´ambito del rapporto di lavoro, sui nuovi strumenti di pagamento elettronico gestiti dalle compagnie telefoniche (mobile payment), sulle violazioni delle banche dati dei gestori tlc (data breaches).

Significativo il numero di procedimenti sanzionatori avviati: 850 procedimenti, a fronte dei 578 del 2012 (con un aumento quindi del 47%). Le sanzioni hanno riguardato, innanzitutto, la omessa o inidonea informativa (476) e il trattamento illecito dei dati (277), legato principalmente al telemarketing e all´uso dei dati personali senza consenso. Ma i procedimenti avviati sono relativi anche alla mancata adozione di misure di sicurezza, alle violazioni connesse alla conservazione dei dati di traffico telefonico, all´omessa notificazione al Garante, all´inosservanza dei provvedimenti dell´Autorità.

Sono aumentate in maniera rilevante le segnalazioni all´Autorità giudiziaria salite, come detto, a 71 (con una crescita del 27% rispetto al 2012), in particolare per mancata adozione delle misure minime di sicurezza a protezione dei dati personali, per violazioni riguardanti il  controllo a distanza dei lavoratori, per trattamento illecito dei dati, false dichiarazioni e notificazioni al Garante o per inosservanza dei provvedimenti dell´Authority.

Il piano ispettivo per il primi sei mesi del 2014

Il Garante ha varato anche il piano ispettivo per il primo semestre 2014. Il piano prevede sia la prosecuzione di controlli avviati lo scorso anno (grandi banche dati pubbliche, in particolare di enti previdenziali e dell´amministrazione finanziaria; gestione delle reti pubbliche di accesso a Internet in  wi-fi; marketing telefonico; mobile payment), sia l´avvio di ispezioni in ambiti particolarmente significativi per numero o delicatezza dei dati trattati, come i call center delocalizzati in Paesi extra Ue, i sistemi di profilazione dei consumatori, le aziende farmaceutiche, i centri di assistenza tecnica e recupero dati. Accertamenti verranno svolti anche sul rispetto dei nuovi obblighi da parte di società telefoniche e Internet provider in caso di violazione ai loro data base a causa di attacchi informatici o eventi avversi (data breaches).

Circa 200 gli accertamenti ispettivi programmati, che verranno effettuati anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza. A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati e le altre verifiche per accertare il rispetto dei principali adempimenti previsti dalla normativa.

 



Dializzati: sì alla ricerca, ma tutelare la privacy
Ricerche epidemiologiche svolte da privati: dati anonimi o necessario il consenso dei malati

 

Gli enti privati che si occupano di ricerca medico-epidemiologica non possono utilizzare dati personali raccolti dalle strutture pubbliche di dialisi senza aver prima informato i pazienti in cura e aver acquisito il loro consenso. In alternativa, devono utilizzare esclusivamente dati anonimi. Lo ha stabilito il Garante privacy nel vietare l´uso dei dati personali dei pazienti a un´associazione di medici nefrologi che gestisce un importante registro italiano delle persone con insufficienza renale cronica [doc. web n. 2937031]. Altri  accertamenti sono tuttora in corso per valutare anche la correttezza dei trattamenti di dati effettuati da parte delle strutture pubbliche coinvolte.

Dai riscontri raccolti dall´Autorità a seguito di un´ispezione avviata d´ufficio, è emerso che i responsabili dei registri regionali e provinciali di dialisi e trapianto, gestiti da enti pubblici,  inviavano a questa associazione dati clinici disaggregati sui pazienti con insufficienza renale cronica in trattamento dialitico presso i centri territoriali. I dati erano prima raccolti dall´associazione in un proprio registro nazionale al fine di effettuare analisi statistiche ed epidemiologiche e poi trasferiti su un analogo registro privato europeo.

L´associazione medica, riteneva erroneamente che tali dati fossero anonimi e che, quindi, non fossero necessarie misure e precauzioni a tutela della privacy delle persone in cura. Il Garante ha accertato invece che i dati trasmessi dalle strutture territoriali, pur non contenendo il nominativo degli interessati, riportavano numerose informazioni che rendevano comunque identificabili i malati (codice paziente, data di nascita, codice della malattia) nonché numerosi dati sensibili (come  i risultati degli esami clinici e le patologie in corso).

Il Garante, nel sottolineare l´importanza della ricerca scientifica, ha ribadito tuttavia che essa non può essere condotta senza adottare adeguate misure a tutela della riservatezza dei malati. L´Autorità ha quindi vietato all´associazione di nefrologia di continuare a trattare i dati personali dei malati se prima non avrà provveduto ad acquisire il loro consenso informato e adottato adeguate misure di sicurezza per proteggere i dati da accessi indebiti. In alternativa, l´associazione potrà acquisire dai centri dialisi solo dati "effettivamente anonimi", quindi non più riferibili a singoli malati. Sono in corso  accertamenti avviati dall´Autorità sulle strutture pubbliche territoriali che hanno condiviso i dati dei registri di dialisi e trapianto con centri privati.



Assistenza sociale: via libera del Garante al Casellario

 

Via libera del Garante  privacy sullo schema di decreto del Ministero del lavoro relativo alla costituzione presso l´Inps del Casellario dell´Assistenza, l´anagrafe generale delle posizioni assistenziali.

Il parere positivo dell´Autorità [doc. web n. 2922956] è stato reso su una versione di decreto che ha accolto integralmente le osservazioni e i suggerimenti forniti dall´Ufficio del Garante in alcuni incontri e contatti informali con il Ministero. Le osservazioni, volte a perfezionare il testo sotto il profilo della protezione dei dati, hanno riguardato in particolare la selezione delle informazioni destinate a confluire nel casellario, l´individuazione dei soggetti che possono consultarle, le modalità di raccolta e di anonimizzazione dei dati relativi ai  minori in situazioni di disagio.

Con la costituzione del Casellario si intende definire un quadro complessivo del settore dell´assistenza sociale al fine di gestire, programmare, monitorare la spesa, valutare l´efficienza degli interventi ed elaborare statistiche e studi. Per questi motivi le amministrazioni locali e ogni altro ente che eroga tali prestazioni dovranno mettere a disposizione del Casellario le informazioni previste dal decreto e l´Inps dovrà rendere disponibili le informazioni raccolte in forma individuale, ma prive di ogni riferimento che ne permetta il collegamento con gli interessati, al Ministero del lavoro, al Ministero dell´economia e delle finanze, alle Regioni, alle Province autonome e ai Comuni.

Nella banca dati saranno raccolti, conservati e gestiti i dati personali e familiari dei beneficiari, le informazioni sugli enti eroganti e sulle prestazioni assegnate. Inoltre, in apposite sezioni separate, dedicate alla non autosufficienza, ai minori in condizioni di disagio e alla povertà, saranno trattate le informazioni sulla presa in carico da parte dei servizi sociali, in forma del tutto anonima nei casi più delicati. I dati direttamente identificativi saranno consultabili esclusivamente dagli enti locali, solo per le prestazioni da essi erogate, e dall´Inps, dalla Guardia di finanza e dall´Agenzia delle entrate per effettuare controlli sui beneficiari delle prestazioni sociali agevolate.

Le modalità attuative e le specifiche tecniche per l´acquisizione, la trasmissione e lo scambio delle informazioni tra le amministrazioni coinvolte e l´anonimizzazione dei dati, nonché le misure di sicurezza, saranno definite  dall´Inps con successivi decreti, sentito il parere del Garante.



Sì del Garante a uno studio su pazienti sottoposti a trapianto di fegato

 

Il Garante ha autorizzato l´Azienda Ospedaliero-Universitaria di Bologna Policlinico S. Orsola Malpighi a trattare anche senza il consenso di tutti i malati coinvolti, i dati sanitari e genetici di circa duecento pazienti nell´ambito dello studio monocentrico Polimorfismi genetici di Interleuchina 28B [doc. web n. 2939000]. Lo studio, volto a monitorare gli esiti clinici di malati con cirrosi epatica sottoposti a trapianto di fegato nel periodo 1 gennaio 2005 – 31 dicembre 2010,  include infatti anche i dati e i campioni dei pazienti deceduti nel periodo successivo al trapianto e quindi impossibilitati a fornire il consenso.

L´azienda potrà trattare i loro dati e campioni purché i pazienti deceduti non si siano opposti in vita al loro uso a scopo di ricerca ma dovrà informare ed avere il consenso delle persone ancora vive. Il Policlinico potrà accedere ai soli dati strettamente indispensabili e pertinenti per la conduzione dello studio. Come previsto dall´Autorizzazione generale sui dati genetici il trattamento di questa tipologia di dati in assenza del consenso degli interessati è possibile solo a seguito di apposita autorizzazione rilasciata dal Garante, sentito il Ministro della salute, che ha acquisito, a tal fine, il parere del Consiglio superiore di sanità.

Lo studio ha ricevuto anche il motivato parere favorevole del competente comitato etico a livello territoriale. La ricerca prevede che i dati genetici dei pazienti siano ricavati dall´analisi di campioni di tessuto epatico prelevati sia dal fegato espiantato sia da quello impiantato. I campioni biologici prelevati saranno distrutti al termine della ricerca e i dati raccolti saranno conservati per un periodo di tempo non superiore a dieci anni e trasformati in seguito in forma anonima. I campioni di tessuto epatico prelevati saranno utilizzati soltanto dal Policlinico e trasmessi al Centro Unificato di Ricerca Biomedica Applicata per l´analisi genetica.

Il Garante ha però chiesto al Policlinico di riformulare l´informativa precisando l´ambito di comunicazione dei dati e di designare come Responsabile del trattamento il Centro unificato di Ricerca Biomedica Applicata. L´Autorità ha prescritto inoltre al Policlinico di adottare idonee misure di sicurezza con specifico riferimento all´uso di sistemi di autenticazione basati, tra l´altro, su dispositivi biometrici.


L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

  • Il Garante risponde al Ministro della PA sulla pubblicazione online dei nomi dei dipendenti pubblici con permessi e distacchi sindacali  - Comunicato 8 febbraio 2014

 


NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it