Diritti interna

Doveri interna

ricerca avanzata

Newsletter del 4.2.16 - Sanità on line, attenzione ai dati degli assistiti - Tlc, no alla pesca a strascico sul web per formare gli elenchi telefonici

Sanità on line, attenzione ai dati degli assistiti Tlc, no alla pesca a strascico sul web per formare gli elenchi telefonici Ok condizionato del Garante al monitoraggio della rete di assistenza sanitaria

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
4644612
Data:
04/02/16
Tipologia:
Newsletter

 


Sanità on line, attenzione ai dati degli assistiti
Intervento urgente del Garante privacy per bloccare eventuali accessi illeciti al portale di una Asl

 

Chiunque poteva consultare e modificare i dati degli assistiti che si erano registrati al portale di una Asl e il Garante della privacy interviene d´urgenza a bloccare [doc. web n. 4630534] la sezione del sito e fermare la violazione della riservatezza. 

L´anomalia segnalata all´Autorità era stata scoperta per caso da un utente mentre utilizzava i servizi on-line  offerti dall´Azienda sanitaria. Non occorreva essere pirati informatici per accedere ai dati di altre persone: era sufficiente compilare a caso - anche inserendo parte di un nome o di un cognome - uno dei campi di ricerca presenti nella sezione dedicata agli assistiti per consultare tutte le schede anagrafiche trovate, nelle quali erano riportati l´indirizzo di residenza, il codice fiscale o il numero di telefono degli assistiti.

Non solo. Dai riscontri effettuati dal Garante, è emerso che qualunque utente, senza trovarsi di fronte ad alcun filtro,  poteva addirittura modificare questi dati o cancellare l´account delle persone che si erano registrate sul sito.

Nel provvedimento con il quale ha vietato l´ulteriore diffusione dei dati, il Garante ha ricordato che le pubbliche amministrazioni che offrono servizi in rete sono obbligate ad adottare misure di sicurezza per ridurre al minimo i rischi di accesso non autorizzato o di trattamenti di dati non consentiti. Sul sito della Asl, al contrario, non era presente neppure una procedura di identificazione informatica che consentisse l´individuazione del soggetto che richiedeva il servizio on line, in modo tale da limitare al solo interessato l´accesso ai dati personali che lo riguardano.

L´Autorità ha imposto alla Azienda sanitaria locale di intervenire entro 48 ore dalla ricezione del provvedimento per risolvere il problema.Prescrizione che la Asl ha prontamente adempiuto, bloccando l´accesso indiscriminato ai dati. Non sono però state ancora accertate le cause dell´errato funzionamento del portale sanitario,che potrebbero essere legate a errori di impostazione o di progettazione informatica del sistema, come pure ad attacchi hacker  dall´esterno.

L´Autorità si è riservata di approfondire il caso,  ma al contempo ha avviato un autonomo procedimento sanzionatorio contro la Asl per le violazioni riscontrate.

 

Tlc, no alla pesca a strascico sul web per formare gli elenchi telefonici
Il Garante blocca un sito che trattava in modo illecito i dati di oltre 12 milioni di persone

 
No ai software che "pescano" on line in maniera sistematica e indiscriminata dati e informazioni per realizzare elenchi telefonici. Le società che intendono costituire questo tipo di pubblicazione, cartacea o on line, devono utilizzare il data base unico (dbu), l´archivio elettronico che raccoglie  numeri di telefono e  altri dati dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile. In alternativa,  devono acquisire il consenso libero, informato, specifico per ogni finalità che si intende perseguire (come la consultazione on line dell´elenco o la "ricerca inversa" delle generalità di un abbonato attraverso il numero di telefono).
 
Questi principi sono stati ribaditi dal Garante privacy che ha dichiarato illecito e ha vietato ad una società la formazione e la diffusione on line di un elenco telefonico contenente dati di oltre 12.500.000 persone non raccolti dal dbu ma da altri siti web (mediante web scraping) senza il consenso degli utenti [doc. web n. 6053915]. I dati trattati in modo illecito dovranno essere cancellati dalla società.
 
Le numerose segnalazioni pervenute all´Autorità lamentavano la diffusione sul sito della società di un elenco telefonico on line contenente vari dati personali (nome e cognome, indirizzo, recapito telefonico, a volte anche utenze riservate, numero di cellulare o indirizzo email) raccolti senza consenso. Alcuni segnalanti, inoltre, associavano la ricezione di telefonate promozionali indesiderate alla messa a disposizione dei propri dati sul sito. Dagli accertamenti effettuati è emerso che la società gestiva un sito in cui aggregava e rendeva disponibili i numeri di telefonia fissa e altri dati personali raccolti in maniera automatica e sistematica attraverso script  lanciati direttamente sulle fonti web acquisendone i contenuti (web scraping). Gli script, come affermato dalla società, erano impostati in modo tale da raccogliere qualsiasi informazione pubblicata su fonti web accessibili a tutti, per poi metterla a disposizione degli utenti del sito della società.
 
Nel disporre il divieto il Garante ha riaffermato le regole sulla formazione degli elenchi telefonici  e ha ritenuto la pubblicazione on line di un elenco telefonico non tratto dal dbu e senza il consenso degli interessati un trattamento particolarmente invasivo per l´agevole reperibilità dei dati anche mediante i più comuni motori di ricerca e per la possibilità che essi possano essere utilizzati anche per ulteriori trattamenti (ad es. marketing indesiderato).
 
L´Autorità sta valutando l´applicazione di una sanzione amministrativa per gli illeciti commessi dalla società.
 

 

 

 



Ok condizionato del Garante al monitoraggio della rete di assistenza sanitaria

 

Parere favorevole [doc. web n. 4630606] del Garante privacy, seppure condizionato ad alcune modifiche e integrazioni, ad uno schema di decreto del Ministero della salute che riguarda l´istituzione del sistema informativo per il Monitoraggio della Rete di Assistenza (MRA), nell´ambito del Nuovo Sistema Informativo Sanitario (NSIS).

Il sistema MRA si prefigge di favorire il raggiungimento di obiettivi di governo da parte dei diversi livelli interessati (ministeriale, regionale e aziende sanitarie) anche al fine di razionalizzare la spesa, e di informare i cittadini sulla rete di assistenza sanitaria nel nostro paese.

Il sistema di monitoraggio opererà istituendo un´unica anagrafe di riferimento a livello nazionale di tutte le strutture della rete sanitaria (ASL, strutture di ricovero autorizzate, strutture territoriali accreditate, farmacie pubbliche e private convenzionate, strutture territoriali autorizzate e non accreditate, medici di medicina generale e pediatri di libera scelta convenzionati con il Sistema sanitario nazionale).

Il MRA consentirà la consultazione delle informazioni, in forma analitica e aggregata alle Regioni e alle Province autonome, al Ministero della salute, al Ministero dell´economia e delle finanze, all´Agenzia nazionale per i servizi sanitari regionali, all´ISTAT.

I dati del Sistema MRA potranno inoltre essere messi a disposizione di soggetti appositamente autorizzati dalla Direzione generale della digitalizzazione del Ministero della Salute, cui è affidata la realizzazione e la gestione del sistema e ai cittadini mediante il sito internet dello stesso Ministero. Esaminato lo schema, il Garante ha segnalato l´esigenza di apportare alcune mirate modifiche e integrazioni per conformare il testo alle garanzie in materia di protezione dei dati personali.

L´Autorità ha chiesto, ad esempio, di precisare quali dati personali saranno resi disponibili sul sito del Ministero, nel rispetto dei principi di pertinenza e non eccedenza. Potrebbe infatti non essere giustificata la pubblicazione on line del codice fiscale del medico, che comporterebbe il rischio di furto d´identità.

Il Garante ha chiesto inoltre di chiarire i ruoli e le responsabilità delle Regioni e Province autonome, da un lato, e del Ministero della salute, dall´altro, rispetto al flusso delle informazioni che riguardano i medici di medicina generale e i pediatri di libera scelta; di indicare i tempi di conservazione dei dati personali, trascorsi i quali i dati devono essere cancellati o resi anonimi; di individuare le informazioni contenute nei file di log con cui si registrano gli accessi; di precisarne i tempi di conservazione e di  proteggerli con idonee misure contro ogni uso improprio.

 

 

L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

 


NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it