g-docweb-display Portlet

Newsletter del 21 luglio 2015 - Banche dati Pa più interconnesse e più sicure

Stampa Stampa Stampa

 


No alle "bustine" sullo schermo tv se violano la privacy dei clienti
Evitare le prassi invasive nel recupero dei crediti

 

Le "bustine" sullo schermo del televisore con all´interno messaggi per sollecitare mancati pagamenti non devono violare la riservatezza dei clienti. E´ quanto ha stabilito il Garante per la privacy [doc. web n. 4131145] a seguito della segnalazione di un abbonato Sky che lamentava la modalità di comunicazione utilizzata dalla società che a suo avviso consentiva ad estranei di conoscere  la eventuale posizione debitoria a suo carico (peraltro contestata dall´interessato).
 
Il sistema utilizzato da Sky, secondo gli elementi forniti dalla società, prevede l´invio di messaggi al decoder del cliente che sono "visualizzabili sullo schermo solo se il cliente decide di leggerli". Sul televisore "viene semplicemente visualizzato un banner con l´icona di una busta": è  possibile leggere subito il messaggio oppure chiudere il banner per leggere il messaggio in un secondo momento.
 
Dall´istruttoria avviata dal Garante è emerso tuttavia che tale trattamento di dati non risulta lecito. Il messaggio inviato al cliente, per le modalità utilizzate, si presta infatti ad essere conosciuto da un numero indeterminato di soggetti, dal momento che il tasto del telecomando che consente la lettura o meno del messaggio  può essere azionato da chiunque si trovi davanti allo schermo, senza nessun filtro.
 
Se intende continuare ad utilizzare il sistema dei messaggi sul televisore Sky dovrà dunque adottare le misure  prescritte dal Garante. Allo scopo di escludere il rischio, anche potenziale, di diffusione a terzi di informazioni sulla situazione debitoria del cliente ed evitare casi analoghi a quello segnalato, la società dovrà prevedere l´utilizzo di un codice di accesso al contenuto del messaggio che verrà consegnato al cliente al momento della sottoscrizione del contratto e che servirà per leggere il messaggio. La società dovrà comunque privilegiare per l´invio di solleciti di pagamento altre modalità, quali ad esempio la comunicazione via mail o l´invio di un messaggio in busta chiusa all´indirizzo del cliente.
 
L´inosservanza del provvedimento del Garante da parte della società comporta il pagamento di una somma che può andare da trentamila a centottantamila euro.
 
Le prassi di recupero dei crediti caratterizzate da modalità di presa di contatto invasive e talora lesive della riservatezza delle persone tali da determinare una comunicazione ingiustificata a soggetti terzi rispetto al debitore, erano già state in passato censurate dall´Autorità con un provvedimento rivolto sia alle società di recupero crediti sia a quanti - finanziarie, banche, concessionari di pubblici servizi, compagnie telefoniche - svolgono questa attività direttamente.

 



Invio dei certificati di gravidanza all´Inps: servono più tutele

 
Servono maggiori garanzie a tutela della riservatezza delle lavoratrici madri. Le chiede il Garante privacy nel parere [doc. web n. 4130998] espresso su uno schema di decreto interministeriale elaborato dal Ministero del lavoro e delle politiche sociali che detta le modalità tecniche per la predisposizione e l´invio all´INPS dei certificati medici di gravidanza, interruzione della gravidanza e parto.
 
In base al Testo unico sulla maternità e paternità, questi certificati devono essere inviati all´INPS direttamente dal medico del Servizio Sanitario Nazionale, esclusivamente per via telematica, utilizzando il medesimo sistema di trasmissione delle certificazioni di malattia.
 
Lo schema di decreto sottoposto all´Autorità, che ha già recepito molte delle indicazioni fornite dall´Ufficio del Garante nel corso di incontri avuti con le amministrazioni interessate, presenta, tuttavia, ancora dei profili che devono essere ulteriormente perfezionati. Secondo l´Autorità lo schema deve essere integrato prevedendo che l´invio telematico dei certificati, come stabilito dalla normativa, non sia automatico, ma avvenga su richiesta della lavoratrice per consentirle di potersi avvalere dei diritti che l´ordinamento le riconosce (interruzione della gravidanza, non riconoscimento del figlio, parto in anonimato). Occorre, infatti, scongiurare il rischio che si instauri la prassi dell´invio automatico dei certificati senza verificare che la donna sia una lavoratrice e che voglia avvalersi dei benefici erogati dall´Inps. Nello schema inoltre, deve essere inserita una specifica disposizione  che preveda l´adozione di idonee misure di sicurezza a protezione dei dati. Particolare attenzione poi, deve essere, riservata ai dati che, in base alla normativa di settore o ai principi del Codice privacy,  possono essere inclusi nei certificati. Nello schema vanno quindi evitate le diciture che possono risultare generiche o ambigue, o che possono arrecare lesioni alla riservatezza delle lavoratrici. L´Autorità ha chiesto, ad esempio, che sia espunta dal certificato di interruzione di gravidanza l´informazione sulle condizioni del feto al momento della nascita (vivo, morto), poiché ininfluente (e quindi eccedente e non pertinente) ai fini della fruizione dei periodi di assenza dal lavoro per malattia o degli eventuali benefici previdenziali o assistenziali.
 
Ulteriori modifiche richieste dal Garante riguardano il perfezionamento dello schema per evitare che il datore di lavoro venga a sapere informazioni che non deve conoscere e l´individuazione, anche per categorie, delle strutture sanitarie competenti all´invio dei certificati. 

 



Banche dati Pa più interconnesse e più sicure
In caso di violazioni o incidenti informatici il Garante va informato entro 48 ore

 
Le pubbliche amministrazioni che intendono mettere a disposizione delle altre Pa, gli accessi telematici alle proprie banche dati, in attesa della definizione degli "standard di comunicazione e le regole tecniche" da parte dell´Agenzia per l´Italia digitale (Agid), dovranno adottare le misure di sicurezza fissate dal Garante privacy. Il provvedimento [doc. web n. 4129029], pubblicato sulla Gazzetta Ufficiale n. 179 del 4 agosto 2015, riafferma le misure tecniche e organizzative individuate nel parere dato all´Agid nel 2013: regole rigorose a protezione dei data base della Pa, contraddistinti da un´ingente mole di dati trattati, dalla delicatezza delle informazioni contenute e dalla molteplicità dei soggetti autorizzati ad accedervi.
 
Dovranno, invece, mettersi in regola entro il 31 dicembre 2015 le amministrazioni che hanno previsto modalità di accesso non conformi a quanto previsto dal Garante nel 2013. Esulano dall´intervento odierno le amministrazioni che hanno già sottoposto le modalità di accesso alle banche dati all´esame del Garante nell´ambito di specifici provvedimenti.
 
Il Garante inoltre, per innalzare ulteriormente i livelli di tutela dei dati, ha  prescritto che le amministrazioni dello Stato - compresi gli istituti e le scuole di ogni ordine e grado, le Regioni e le Province, anche quelle autonome, i Comuni, le aziende e gli enti del Servizio sanitario nazionale e gli enti pubblici non economici - devono comunicare allo stesso Garante, entro quarantotto ore dalla conoscenza del fatto, tutte le violazioni o gli incidenti informatici (i cosiddetti "data breach") che possono avere un impatto significativo sui dati personali contenuti nelle banche dati.
 
Le comunicazioni devono essere redatte secondo il modello predisposto dal Garante e inviate via mail all´indirizzo  databreach.pa@pec.gpdp.it.
 
Tra le  dettagliate misure individuate dall´Autorità in un allegato al provvedimento vanno segnalate: la redazione da parte della Pa erogatrice di un documento, costantemente aggiornato, con l´elenco delle banche dati accessibili e i dati disponibili ai fruitori esterni; il divieto per il soggetto pubblico fruitore di estrarre dati in via automatica e massiva e  di creare nuove banche dati; l´identificazione dei soggetti che hanno accesso alla banca dati e l´adeguato tracciamento delle operazioni compiute; la cifratura dei dati sensibili e giudiziari.

 

 

 

 

L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

 


NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it