Diritti interna

Doveri interna

ricerca avanzata

Newsletter 28/02/2018 - Dati sanitari, rating di impresa, Sistan nel piano ispettivo del Garante

Newsletter 28/02/2018 - Dati sanitari, rating di impresa, Sistan nel piano ispettivo del Garante

 

Dati sanitari, rating di impresa, Sistan nel piano ispettivo del Garante
Il bilancio 2017 segna un aumento del 307% dei procedimenti sanzionatori e 13 milioni e 300 mila euro di sanzioni applicate

 

Dati sanitari a fini di ricerca, rating sulla solvibilità delle imprese, sistema statistico nazionale (Sistan), Spid, telemarketing. Sono questi i settori sui quali nei prossimi mesi punterà la sua lente il Garante per la protezione dei dati personali contenuti nel piano ispettivo per il primo semestre 2018 approvato nelle scorse settimane [doc. web n. 7810451].

L´attività ispettiva, svolta anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza sulla base del protocollo di intesa siglato con Guardia di finanza, riguarderà innanzitutto i trattamenti di dati effettuati dalle Asl e poi trasferiti a terzi per il loro utilizzo a fini di ricerca, il rilascio dell´identità digitale ai cittadini italiani (Spid), l´attività delle società che si occupano di valutare il rischio e la solvibilità delle imprese, il telemarketing, il Sistema Integrato di Microdati (Sim) dell´Istat.

I controlli si concentreranno anche sull´adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano dati sensibili, il rispetto delle norme sull´informativa e il consenso, la durata della conservazione dei dati da parte di soggetti pubblici e privati. L´attività ispettiva verrà svolta anche in riferimento a segnalazioni e reclami con particolare attenzione alle violazioni più gravi.

Intanto il bilancio 2017 dell´attività ispettiva dell´Autorità conferma il forte incremento dell´attività sanzionatoria già registrata lo scorso anno. Nel corso del 2017 sono stati infatti definiti oltre 1.000 procedimenti sanzionatori in più rispetto all´anno precedente, pari ad un aumento del 307%. L´importo della sanzioni applicate con ordinanza-ingiunzione sono cresciute arrivando ad oltre 13 milioni e 300 mila euro. Le sanzioni già riscosse dall´erario sono state di circa 3 milioni e 800 mila euro (pari ad un complessivo 15% in più rispetto al 2016).

Diminuite le segnalazioni all´autorità giudiziaria (41 rispetto alle 53 del 2016).

Gli accertamenti, svolti nel 2017 anche con il contributo delle Unità Speciali della Guardia di finanza, Nucleo speciale privacy, hanno riguardato numerosi e delicati settori, sia nell´ambito pubblico che privato. Per quanto riguarda il settore privato le ispezioni si sono rivolte principalmente ai trattamenti di dati effettuati da società operanti nella "sharing economy", da imprese di vendita a domicilio, da società che operano nel settore dell´intermediazione creditizia o nel recupero crediti, da aziende che offrono servizi di informazioni commerciali, da società che svolgono attività di telemarketing (in particolare di quelle situate in Albania), da società di selezione del personale, da centri odontoiatrici. Oggetto di accertamento anche l´uso di sistemi di geolocalizzazione dei dipendenti da parte di imprese private.

Per quanto riguarda il settore pubblico l´attività di verifica si è concentrata in particolare sulla gestione del "dossier sanitario" da parte di Asl e Aziende ospedaliere e altri enti sanitari pubblici, sulle grandi banche dati pubbliche, sul sistema della fiscalità, con speciale riguardo alle misure di sicurezza e al sistema degli audit, sul sistema informativo dell´Istat, sullo Spid.

 

Sanità: ok al dispositivo indossabile per i pazienti non autosufficienti
Previste elevate tutele per la protezione dei dati e la dignità dei malati

 

Una fondazione che si occupa anche di assistenza geriatrica potrà attivare all´interno della sua struttura un sistema di sorveglianza mediante dispositivi indossabili per consentire al personale sanitario di controllare, anche a distanza, i pazienti totalmente non autosufficienti.

Il sistema, che prevede l´uso di un bracciale o una cavigliera dotati di un localizzatore e di un misuratore di frequenza cardiaca, è stato ritenuto adeguato dal Garante privacy [doc. web n. 7810766] in considerazione delle provate e giustificate esigenze di tutela della salute e di incolumità dei pazienti, nonché delle misure di sicurezza  previste dalla fondazione. L´impiego del dispositivo sarà limitato a un esiguo numero di casi e sarà applicato solo con il consenso scritto dei malati, revocabile in ogni momento. La localizzazione del paziente non sarà sistematica, ma avverrà soltanto all´interno della struttura e al verificarsi di determinati eventi che possono esporre l´ospite a pericoli: l´allontanamento dal reparto, l´accesso ad aree precluse, come la farmacia della struttura, o la rilevazione di un´alterazione della frequenza cardiaca. In quest´ultimo caso, oltre alla localizzazione, si attiverà la telecamera più vicina al paziente, con registrazione delle immagini per 30 minuti e l´invio di un messaggio di allerta al personale. Le immagini registrate non saranno conservate per più di 72 ore, tranne i casi in cui sia necessario prolungare la conservazione per esigenze di prova.

L´Autorità considerata la peculiarità del sistema e l´estrema delicatezza dei dati ha ritenuto opportuno prescrivere ulteriori misure, oltre a quelle già previste dalla fondazione, per innalzare il livello di tutela della riservatezza e della dignità dei pazienti. Il bracciale o la cavigliera dovranno essere applicati con le modalità che risultino più accettabili per il paziente, al quale, qualora le condizioni lo consentano, dovrà essere fornita una informativa sul trattamento dei dati personali adeguata alle sue capacità di comprensione. Il giudizio della commissione interna, istituita per stabilire la necessità di una sorveglianza continua attraverso un dispositivo indossabile, dovrà essere oggetto di valutazione periodica. Almeno ogni settimana, infine, dovrà essere verificata la regolarità del funzionamento e la corretta attribuzione del bracciale o della cavigliera al singolo paziente per accertare che non si siano verificati scambi o altri comportamenti che possano alterarne la funzionalità. Le prescrizioni del Garante si aggiungono alle misure  già contemplate dalla fondazione che si è impegnata ad assicurare elevate misure di sicurezza a protezione dei dati e dei sistemi, oltre a una periodica attività di formazione del personale e di informazione di ospiti, familiari e lavoratori.

 

 

 


No allo spam sulle Pec dei liberi professionisti

 

Il Garante per la privacy ha vietato a una società e a un´associazione a essa collegata l´invio senza consenso di e-mail promozionali a liberi professionisti, utilizzando i loro indirizzi di posta elettronica certificata [doc. web n. 7810723].

Dalle verifiche  - avviate dall´Autorità a seguito di numerose segnalazioni ed effettuate con l´ausilio del Nucleo Speciale Privacy della Guardia di Finanza - è emerso che alcuni collaboratori volontari dell´Associazione e una società terza avevano reperito on line massivamente gli indirizzi Pec di avvocati e, in minor parte, di commercialisti, revisori contabili, consulenti del lavoro e notai, con varie modalità manuali e automatizzate, in violazione dei fondamentali principi di finalità, liceità e correttezza del trattamento dei dati personali.

La società aveva poi spedito agli indirizzi di più di 800.000 professionisti diverse e-mail, contenenti la notizia della pubblicazione di un bando di selezione per "consulente reputazionale", l´invito a partecipare ad un webinar e articoli relativi alla società mittente.

Oltre ad essere stati trattati senza consenso, gli indirizzi Pec erano stati reperiti in modo illecito dal registro Ini-Pec, l´Indice nazionale dei domicili digitali, dal sito www.registroimprese.it e dagli elenchi pubblicati da alcuni ordini provinciali. La norma stabilisce infatti che l´estrazione di elenchi di indirizzi di posta elettronica certificata contenuti nel registro delle imprese o negli albi o elenchi "è consentita alle sole pubbliche amministrazioni per le comunicazioni relative agli adempimenti amministrativi di loro competenza". In un caso le e-mail risultavano inviate anche dopo che il destinatario si era già opposto formalmente al trattamento dei suoi dati personali, esercitando i diritti previsti dal Codice privacy.

A nulla sono valse le giustificazioni addotte dalla società e dall´associazione, le quali, tra l´altro, si ritenevano esentate dalla richiesta del consenso preventivo sulla base della presunta natura "istituzionale" delle comunicazioni. Le e-mail infatti, come ha chiarito il Garante, avevano carattere promozionale, in quanto favorivano le attività dell´associazione connesse alla figura di "consulente reputazionale" e dunque dovevano essere inviate nel rispetto delle regole previste dal Codice privacy e dalle Linee guida del Garante in materia di attività promozionale e contrasto allo spam. L´Autorità ha vietato, di conseguenza, alla società e all´associazione l´ulteriore illecito trattamento dei dati dei professionisti e ne ha prescritto la cancellazione, riservandosi di valutare eventuali profili sanzionatori.

 

Accesso civico: no alle sentenze integrali  

La richiesta di accesso civico agli atti giudiziari deve essere valutata con attenzione dalla pubblica amministrazione, per evitare un´indiscriminata diffusione di informazioni delicate sulle persone coinvolte. Questa è l´indicazione del Garante per la protezione dei dati che ha condiviso la scelta di un Comune di non concedere la copia integrale delle sentenze e dei provvedimenti di condanna al pagamento di somme in favore del Comune, nonché di tutti i procedimenti di riscossione ancora aperti [doc. web n. 7810482].

L´associazione che aveva presentato l´istanza, sosteneva che la normativa sulla trasparenza (spesso indicata come Foia) garantisse il libero accesso a tutta la documentazione. Il Comune, al contrario, riteneva che andasse bilanciata con la necessità di tutelare la riservatezza di decine di controinteressati i cui dati personali - anche sensibili - erano riportati nelle sentenze. Al fine di ottemperare alla richiesta di accesso civico, l´ente pubblico aveva quindi rilasciato solo un quadro riassuntivo che riportava, tutti gli elementi ritenuti di interesse pubblico, quali il numero di sentenza, l´oggetto della lite, lo stato attuale dell´azione esecutiva intrapresa dall´Amministrazione e l´eventuale riscossione.

Nel corso dell´istruttoria, il Garante ha riscontrato che negli atti giudiziari integrali richiesti erano contenute informazioni delicate, come la qualità di debitore, l´impossibilità di restituire le somme a causa di un Isee basso, l´esistenza di vertenze in materia di lavoro, o altri dati di tipo sensibile e giudiziario. Ha quindi ricordato che - come già segnalato in altri casi alla stessa Corte di Cassazione - la natura pubblica della sentenza e del processo non implica la conoscibilità da parte di chiunque di tutti i dettagli delle delicate vicende delle persone interessate, magari anche minori. Una conoscibilità, tra l´altro, che sarebbe amplificata e decontestualizzata dalla natura stessa dell´istanza di accesso civico.

Per questi motivi, tenendo conto anche delle linee guida sull´accesso civico adottate dall´Anac, al fine di evitare un possibile pregiudizio concreto alla protezione dei dati personali dei soggetti controinteressati, il Garante della privacy ha evidenziato che la scelta del Comune di consegnare all´associazione una scheda dettagliata, priva di elementi di natura personale, sia conforme alla disciplina in materia di protezione dei dati personali.

 

L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

Garante privacy, 840mila euro di sanzione a Telecom
per telefonate promozionali senza consenso - Comunicato stampa del  7 febbraio 2018
 

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it