g-docweb-display Portlet

Newsletter 3/10/2022 - Screening oncologici: il Garante sanziona la Regione Lazio - App per diabetici: sanzionata dal Garante società statunitense - PA: piattaforma digitale dei benefici economici, il Garante chiede più garanzie

Stampa Stampa Stampa

 

NEWSLETTER N. 495 del 3 ottobre 2022


Screening oncologici: il Garante sanziona la Regione Lazio
Multa di 100mila euro per il mancato aggiornamento dei dati personali

Il Garante per la protezione dei dati personali ha sanzionato la Regione Lazio per la somma di 100.000 euro per non avere aggiornato i dati della piattaforma utilizzata dalle Asl per l’invito agli screening oncologici.

L’Autorità è intervenuta a seguito del reclamo di una donna che aveva lamentato all’Autorità di aver ricevuto dalla Asl di Rieti un invito a partecipare al programma di screening del tumore del collo dell’utero, rivolto alla figlia deceduta nel 1995.

Nel corso dell’istruttoria, l’Autorità ha accertato che - per svolgere le campagne di screening - le Asl utilizzano una piattaforma regionale denominata Sistema Informativo dei Programmi di screening oncologici (SIPSOweb), che contiene tutti i parametri necessari alla generazione degli inviti.

Quando la ASL di Rieti aveva consultato la scheda "dettaglio assistito" di SIPSOweb relativa alla figlia della reclamante, questa risultava ancora regolarmente inserita nella suddetta piattaforma regionale sebbene deceduta da tempo. L’Autorità ha pertanto contestato alla Regione il mancato rispetto dei principi di esattezza e correttezza dei dati trattati attraverso la piattaforma e, tra l’altro, la non corretta individuazione dei ruoli ricoperti dai soggetti che a vario titolo trattano dati personali attraverso SIPSOweb.

La Regione, in quanto titolare dei dati, deve garantire che i dati personali siano esatti e, se necessario, aggiornati, adottando tutte le misure ragionevoli per cancellare o rettificare tempestivamente le informazioni che utilizza.

Nel comminare la sanzione il Garante ha tenuto conto del fatto che la Regione Lazio era stata già destinataria di un provvedimento sanzionatorio dell’Autorità, e del fatto che, nell’ambito dell’istruttoria, oltre agli aspetti di mancato aggiornamento del dato oggetto del reclamo, l’Ufficio ha rilevato numerose criticità relative al sistema con cui la Regione effettua il trattamento dei dati, anche sulla salute, degli oltre 5 milioni di assistiti coinvolti nelle campagne di screening regionali.

La Regione dovrà perciò identificare correttamente i ruoli, le finalità e le basi giuridiche del trattamento, modificando e integrando le informazioni da rendere agli interessati.

Per garantire una maggiore accuratezza nella gestione delle informazioni anagrafiche delle persone aventi diritto ai programmi di screening oncologici, l’Autorità ha evidenziato la necessità che tutte le Regioni utilizzino a tal fine l'Anagrafe Nazionale degli Assistiti (ANA).

 


App per diabetici: sanzionata dal Garante società statunitense
Trattati in modo illecito gli indirizzi email di circa 2000 pazienti diabetici italiani

ENGLISH VERSION

Il Garante privacy ha sanzionato per 45.000,00 euro una società statunitense, per violazioni sui dati personali nell’utilizzo del proprio sistema di monitoraggio del glucosio e per aver comunicato illecitamente indirizzi di posta elettronica e dati sulla salute di circa 2000 pazienti diabetici italiani.

La Società ha notificato al Garante il data breach causato da un suo dipendente che, nell’ambito di una campagna informativa, ha inviato un messaggio di posta elettronica, inserendo gli indirizzi dei destinatari nel campo "cc" (carbon copy) invece che nel campo "bcc" (blind carbon copy). Ciascun destinatario ha avuto così la possibilità di visualizzare gli indirizzi email degli altri.

In base al Gdpr, ha ribadito il Garante, l’indirizzo di posta elettronica è da considerarsi un dato personale, perché riguarda una persona identificata o identificabile e va perciò trattato in modo lecito, corretto e trasparente, garantendo un’adeguata sicurezza.

Nel caso specifico, poi, considerato che la comunicazione era indirizzata a persone affette da diabete, le informazioni contenute nella email, costituivano “dati personali che possono rivelare lo stato di salute” e quindi potevano essere comunicati a terzi solo sulla base di una delega scritta dell’interessato o di un idoneo presupposto giuridico.

Nel corso dell’istruttoria l’Autorità ha rilevato ulteriori violazioni della normativa sulla protezione dei dati relative all’utilizzo del sistema di monitoraggio del glucosio. Scaricando l’apposita app, infatti, gli utenti erano chiamati ad accettare con un unico “clic” sia le condizioni contrattuali del servizio sia il contenuto dell’informativa privacy, rendendo così impossibile formulare specifici consensi per i diversi trattamenti dei dati, quale appunto quello per il trattamento dei dati sulla salute.

Violati anche i principi di correttezza e trasparenza, avendo la società fornito agli utenti un’informativa confusa e carente in molte parti essenziali. L’azienda aveva inoltre omesso di designare per iscritto il proprio rappresentante nell'Unione europea quale interlocutore per tutte le questioni privacy, come previsto dal Regolamento.

Nel valutare la sanzione da applicare alla società, il Garante ha tenuto conto della mancanza di intenzionalità nell’invio dell’email e del comportamento collaborativo della compagnia. In ottemperanza alle prescrizioni del Garante, l’Azienda dovrà conformare i trattamenti di dati personali alla normativa vigente e rielaborare l’informativa sulla privacy in una forma concisa, trasparente e comprensibile, comunicando le iniziative intraprese in tal senso.

Italian SA fines US company offering diabetes app
Email accounts of about 2,000 Italian diabetic patients were processed unlawfully

An EUR 45,000 fine was imposed on a US company by the Italian SA as the glucose monitoring system offered by the company was found to be in breach of data protection laws; additionally, the company was found to have unlawfully disclosed email accounts and health data relating to about 2,000 Italian diabetic patients.

The company notified the SA of a data breach due to an employee’s sending – as part of an information campaign – email messages with the recipients’ addresses in the ‘Cc’ field rather than in the ‘Bcc’ one. This resulted into enabling every recipient to view the other recipients’ email addresses.

The SA recalled that email addresses are personal data under the GDPR as they relate to identifiable or identified individuals; accordingly, they must be processed lawfully, fairly and in a transparent manner whilst ensuring that they are adequately secured.

In this case, the emails were intended for diabetic patients and the information they contained was ‘data disclosing health’; accordingly, this information could only be disclosed to third parties on the basis of the data subjects’ written authorisation or of another appropriate legal ground.

The inquiries by the SA shed light on additional infringements of data protection laws caused by the glucose monitoring system being offered. After downloading the app, users were expected to accept, by a single click, the terms of use of the service jointly with the contents of the privacy policy. This prevented them from giving their consent separately to the individual processing operations including the processing of health-related data.

Fairness and transparency principles were also infringed since the information provided to users was unclear as well as incomplete, and the company had failed to designate, in writing, its EU representative for all privacy-related issues in pursuance of the GDPR.

In determining the fine to be imposed, the Italian SA took into account the unintentional nature of the emailing activity along with the cooperation shown by the company, which will have to bring its processing into compliance with the applicable legislation and redraft its privacy policy to make it concise, transparent and intelligible. The company will also have to inform the SA of the measures it will take in this connection.

 



PA: piattaforma digitale dei benefici economici, il Garante chiede più garanzie
No alla raccolta massiva e generalizzata delle transazioni degli utenti

Sì condizionato del Garante per la privacy sullo schema di decreto del Ministro per la transizione digitale che disciplina una nuova piattaforma per l’erogazione dei benefici economici concessi dalle amministrazioni pubbliche ai cittadini. Lo schema regola un complesso di trattamenti di dati attraverso i quali assicurare l’erogazione di aiuti economici destinati a specifici acquisti da effettuare utilizzando strumenti di pagamento elettronici. L’obiettivo è quello di digitalizzare i pagamenti della Pa e consentire un più efficiente controllo della spesa pubblica, semplificando l’accesso alle diverse iniziative da parte dei cittadini attraverso l’uso della nuova piattaforma gestita da PagoPA.

Poiché i trattamenti effettuati tramite questa infrastruttura complessa presentano rischi elevati per i diritti e le libertà delle persone il Garante ha chiesto all’Amministrazione di integrare e modificare il testo del decreto, dettando precise condizioni.

Al fine di erogare i benefici ai cittadini, la piattaforma è destinata a raccogliere in modo massivo e generalizzato informazioni su tutti gli aspetti, anche i più delicati, della vita quotidiana dell’intera popolazione sulla base degli acquisti effettuati, nonché dati degli strumenti di pagamento (numero di carta di credito, ecc.) e dei conti correnti (IBAN) dei fruitori. Un patrimonio informativo così importante, riferibile anche categorie di persone vulnerabili, richiede – afferma il Garante - l’adozione di misure tecniche e organizzative in grado di mitigare i rischi di utilizzi impropri, oltre che di accessi non autorizzati, assicurando che i dati siano trattati solo per l’erogazione dei benefici richiesti.

La piattaforma dovrà quindi essere progettata, nel rispetto dei principi di privacy by design e by default, limitando la raccolta dei dati a quelli strettamente necessari allo scopo perseguito dalla singola iniziativa, senza accentrare presso PagoPa, i dati relativi a tutte le transazioni commerciali eseguite con gli strumenti di pagamento censiti nel sistema dagli utenti.

Particolare attenzione poi dovrà essere posta nella raccolta dei dati relativi ai codici merceologici dei beni acquistati, poiché da tali informazioni possono emergere anche riferimenti a opinioni politiche, convinzioni religiose, dati genetici, sulla salute o la vita sessuale.

L’amministrazione dovrà inoltre adottare misure tecniche e organizzative per verificare la titolarità dei conti correnti e l’intestazione degli strumenti di pagamento, tenendo conto che alcuni utenti potrebbero operare sulla piattaforma in favore di altri beneficiari (anziani, minori, disabili).

Mentre per prevenire accessi abusivi o illeciti, o usi impropri dei dati personali, i diversi canali di accesso alla piattaforma, fisici o digitali, che consentiranno di usufruire dei benefici offerti dalle PA, dovranno garantire una adeguata protezione dei dati con garanzie e misure di sicurezza adeguate al rischio. Il Garante ha chiesto infine che, anche eventualmente attraverso un successivo atto attuativo, siano individuati i tempi di conservazione dei dati, differenziati secondo le diverse tipologie e finalità per le quali sono trattati.

 


L'ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

  • La tutela dei lavoratori nella società post pandemica. Garante privacy e Ispettorato nazionale del lavoro a confronto il 5 ottobre a Roma - Comunicato del 29 settembre 2022

  • La sfida della privacy nelle città intelligenti. Se ne parla a “Smart Life Festival” in un talk con la Vice Presidente dell’Autorità Garante della privacy - Comunicato del 29 settembre 2022

  • Il Garante italiano organizza un workshop per una delegazione dell’Autorità privacy moldava. Tre giorni di studio su valutazione d’impatto, responsabile protezione dati, data breach - Comunicato del 26 settembre 2022

  • Firmato il "Manifesto di Pietrarsa". Il Garante privacy lancia la sfida: educhiamo 5 milioni di bambini ad essere consapevoli del valore dei loro dati - Comunicato del 23 settembre 2022

  • Garante privacy: prioritario difendere la persona da un uso distorsivo della tecnica
    Aperti i lavori di "State of privacy ‘22" per affrontare le sfide del futuro. Nel pomeriggio la firma del "Manifesto di Pietrarsa" - Comunicato del 23 settembre 2022

  • Garante privacy a Facebook: chiarire iniziative intraprese su elezioni politiche italiane - Comunicato del 22 settembre 2022

  • Il Garante privacy lancia una call to action per il futuro. A Pietrarsa chiamati a raccolta oltre 250 esperti e rappresentanti di soggetti pubblici e privati per identificare le sfide del futuro – Comunicato del 20 settembre 2022

  • Garante privacy: ok alla riforma del processo penale. Suggerite tutele per la maggiore riservatezza degli atti giudiziari e nuove forme di diritto all’"oblio" – Comunicato del 16 settembre 2022

  • Un francobollo per celebrare i 25 anni del Garante privacy – Comunicato del 14 settembre 2022

  • Stanzione: PNRR, coniugare sviluppo e diritti - Comunicato del 12 settembre 2022

  • Privacy: dal G7 dei Garanti un modello etico per l’Intelligenza Artificiale.  Il contributo del Garante italiano – Comunicato del 10.09 2022

  • Sanità digitale: Garante a Ministero, necessarie maggiori garanzie su nuova banca dati - Comunicato dell’8 settembre 2022

  • Il G7 dei Garanti privacy per un trasferimento dati libero e affidabile. Per l’Autorità italiana è presente la Vice presidente Ginevra Cerrina Feroni - Comunicato del 7 settembre 2022

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).

Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it