Diritti interna

Doveri interna

ricerca avanzata

Newsletter 23/09/2019 - Privacy: al via l'indagine conoscitiva internazionale sulla gestione dei data breach - Diritto all’oblio anche per chi si riabilita - Sanità, no del Garante all’uso illecito dei dati degli accertamenti medici

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9144941
Data:
23/09/19
Argomenti:
Giornalismo , Diritto all'oblio , Dati sanitari , e-commerce , Motori di ricerca , Data breach
Tipologia:
Newsletter

 

 

 

NEWSLETTER N. 457 del 23 settembre 2019

 

Privacy: al via l'indagine conoscitiva internazionale sulla gestione dei data breach
Diritto all’oblio anche per chi si riabilita
Sanità, no del Garante all’uso illecito dei dati degli accertamenti medici

 

_______________________________

 

Privacy: al via l'indagine conoscitiva internazionale sulla gestione dei data breach

Parte oggi il "Privacy Sweep 2019", un’indagine a carattere internazionale dedicata quest’anno alla gestione dei data breach da parte di soggetti pubblici e privati. Le Autorità di protezione dati che svolgeranno l’indagine prenderanno in esame i processi e le procedure adottati per la gestione delle violazioni dei dati personali dai titolari dei trattamenti che operano sui rispettivi territori nazionali. L'iniziativa è coordinata dalla Global Privacy Enforcement Network (GPEN), la rete internazionale nata per rafforzare la cooperazione tra le Autorità della privacy di diversi Paesi, di cui il Garante italiano fa parte. Allo Sweep 2019 partecipano, oltre a quella italiana, altre 17 Autorità garanti della privacy di vari Paesi del mondo.

Il Garante per la protezione dei dati personali concentrerà la sua attività sul settore dell’e-commerce attraverso l’analisi di un campione significativo di aziende italiane.

I risultati dell’indagine internazionale saranno resi pubblici il prossimo novembre.

Lo "Sweep" (“indagine a tappeto”) sulla gestione dei data breach fa seguito ad analoghe indagini effettuate negli scorsi anni che hanno preso in esame il principio di responsabilizzazione (accountability), le informative privacy su siti web e le app per la telefonia mobile, i servizi online destinati a minori, l’Internet delle cose.

Che cos’è il Global Privacy Enforcement Network (GPEN)

Il GPEN (Rete globale per l’applicazione delle norme in materia di privacy) è stato costituito nel 2010 facendo seguito ad una raccomandazione dell´OCSE. L’obiettivo è quello di promuovere la cooperazione internazionale fra le Autorità di controllo in materia di privacy alla luce della globalizzazione dei mercati e del crescente flusso di informazioni personali.

 

_______________________________

 

Diritto all’oblio anche per chi si riabilita

La permanenza in rete di notizie di cronaca giudiziaria non aggiornate può rappresentare un ostacolo al reinserimento sociale di una persona. Il diritto all’oblio va riconosciuto anche a chi è stato riabilitato dopo una condanna. Il principio è stato affermato dal Garante privacy, che ha ordinato a Google la rimozione di due Url che rimandavano ad informazioni giudiziarie non più rappresentative della attuale situazione di un imprenditore. L’interessato, dopo aver tentato di far deindicizzare le pagine direttamente a Google, si era rivolto all’Autorità lamentando il pregiudizio derivante alla propria reputazione personale e professionale dalla permanenza in rete di informazioni obsolete e non aggiornate. Per questo motivo aveva chiesto al Garante di ordinare a Google la rimozione dai risultati di ricerca di due Url, reperibili digitando il proprio nominativo, che contenevano informazioni su una vicenda giudiziaria che lo aveva visto coinvolto nel 2007 e sulla sentenza di condanna pronunciata nei suoi confronti nel 2010. Nelle pagine web però non vi era alcuna traccia della successiva riabilitazione che l’uomo aveva chiesto e ottenuto nel 2013.

Nel giudicare fondato il reclamo ed ordinare la deindicizzazione, l’Autorità ha ritenuto che l’ulteriore trattamento dei dati realizzato attraverso la persistente reperibilità in rete degli Url contestati - nonostante la riabilitazione e il tempo trascorso dal verificarsi dei fatti - determinasse un impatto sproporzionato sui diritti dell’interessato, che non risulta bilanciato da un attuale interesse del pubblico a conoscere la vicenda.

La persistenza in rete di tali informazioni giudiziarie non aggiornate, infatti, non è in linea con i principi alla base dell’istituto della riabilitazione, il quale, pur non estinguendo il reato, comporta il venir meno delle pene accessorie e di ogni altro effetto penale della condanna come misura premiale finalizzata al reinserimento sociale della persona.

 

_______________________________

 

Sanità, no del Garante all’uso illecito dei dati degli accertamenti medici

Le società che forniscono apparecchiature per l’alta diagnostica non possono utilizzare per i propri scopi i dati dei pazienti sottoposti agli accertamenti medici. Le aziende sanitarie da parte loro possono comunicare i dati sanitari a terzi solo in presenza di un adeguato presupposto normativo. E’ quanto spiega l’Ufficio del Garante privacy in una nota a conclusione di un’istruttoria nell’ambito della quale sono emersi illeciti trattamenti di dati effettuati da un’azienda sanitaria e dalla società alla quale lo stesso ente, in due occasioni, aveva messo a disposizione copie di immagini della Tac, contenenti informazioni sulla salute di alcuni pazienti. La società una volta ricevute le immagini, attraverso un software, aveva anche effettuato un’operazione di estrazione, anonimizzazione e pseudonimizzazione di dati. Copia delle immagini rielaborate era stata poi allegata alla documentazione necessaria per partecipare a una gara d’appalto e in seguito depositata nell’ambito di un contenzioso giudiziario. Poiché i fatti risalgono al periodo antecedente la piena applicazione del Regolamento europeo (Gdpr), i trattamenti sono stati valutati alla luce del Codice privacy allora vigente.

Intervenuto a seguito di una segnalazione, il Garante ha ritenuto illecito il trattamento effettuato dalla azienda sanitaria che ha messo a disposizione della società le immagini della Tac, determinando così una “comunicazione” di informazioni sulla salute di alcuni pazienti identificati in assenza di un’adeguata base normativa. Parimenti illecito è stato ritenuto dall’Autorità il trattamento svolto dalla società. La designazione della stessa come “responsabile del trattamento” da parte dell’azienda sanitaria non giustifica l’acquisizione delle immagini della Tac. Le operazioni eseguite perseguono, infatti, finalità proprie della società (partecipazione alla gara e difesa in giudizio) non riconducibili a quelle per le quali era stata designata responsabile. Tra queste rientrano, ad esempio, le attività di manutenzione per garantire l’efficienza dell’apparecchiatura e la qualità delle immagini della Tac.

Il Garante quindi, rilevati gli illeciti trattamenti svolti dall’azienda sanitaria e dalla società, ha avviato i relativi procedimenti sanzionatori.

 

_______________________________

 

 

L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

 

 

Garante privacy: nuove regole per i sistemi di informazione creditizia nella digital economy - Comunicato del 19 settembre 2019

T4DATA: il 1° ottobre a Torino un nuovo incontro formativo per gli RPD - Comunicato del 5 settembre 2019

GDPR: al via la formazione per PMI, professionisti e soggetti che operano nella consulenza giuridica sulla protezione dei dati - Comunicato del 4 settembre 2019

Scomparsa Giovanni Buttarelli: il cordoglio dell'Autorità - Comunicato del 21 agosto 2019

Scomparsa di Giovanni Buttarelli: dichiarazione del Segretario Generale dell'Autorità del 21 agosto 2019

T4DATA: un manuale disponibile gratuitamente per gli RPD dei soggetti pubblici – Comunicato del 5 agosto 2019

Dati in cambio di soldi: il Garante privacy porta la questione in Europa - Comunicato del 1 agosto 2019

 

 

 

 

 

 

 

 

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751 - Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.garanteprivacy.it

 

 

 

 

 

 

Iscrizione alla Newsletter - Cancellazione dal servizio - Informazioni sul trattamento dei dati personali