NEWSLETTER N. 492 del 30 giugno 2022

• Banche, Garante: necessarie verifiche puntuali prima di comunicare i dati dei clienti
• Dati sanitari e trasparenza della Pa: il Garante sanziona una asl
• Bonus patente autotrasporto: ok del Garante alla piattaforma per l’erogazione
• GDPR: consultazione sull’uso delle certificazioni per trasferire i dati all’estero

Banche, Garante: necessarie verifiche puntuali prima di comunicare i dati dei clienti

Le banche devono effettuare verifiche puntuali prima di comunicare i dati dei propri clienti ad altre persone, anche perché soggetti in precedenza autorizzati a conoscerli, nel tempo potrebbero aver perso questa facoltà. Lo ha affermato il Garante per la privacy, definendo il procedimento avviato a seguito del reclamo di una ragazza all’epoca dei fatti già maggiorenne, che contestava a una banca la comunicazione dei dati del proprio conto corrente a suo padre. Tali informazioni erano state poi prodotte in un giudizio pendente dinanzi al Tribunale.

Rispondendo alla richiesta di informazioni del Garante l’istituto di credito confermava quanto denunciato, ma a giustificazione dell’accaduto invocava la buona fede del proprio dipendente. Secondo la banca, infatti, l’operatore aveva consegnato al padre della reclamante copia della movimentazione del conto corrente della figlia perché in precedenza egli era autorizzato ad operare sul rapporto bancario, in quanto esercente la potestà genitoriale fino al raggiungimento della maggiore età della ragazza. Inoltre la conoscenza personale del padre, un ex dipendente della banca, aveva indotto l'impiegato a ritenere il genitore ancora autorizzato ad accedere ai dati contabili della figlia, senza effettuare alcuna verifica.

Giustificazioni insufficienti per l’Autorità, che ha dichiarato fondato il reclamo e ritenuto illecito il comportamento tenuto dalla banca tramite un proprio dipendente, il quale ha effettuato un accesso ai dati bancari della reclamante e li ha comunicati ad un terzo non autorizzato, in violazione della normativa sulla protezione dei dati personali. Inoltre, contrariamente a quanto sostenuto dalla banca, l’Autorità ha ritenuto non applicabile al caso l’esimente della buona fede. In base al costante orientamento della giurisprudenza, infatti, l’errore rileva quale causa di esclusione della responsabilità solo quando è inevitabile, ossia in presenza di circostanze tali da indurre l’autore della violazione al convincimento della liceità del suo agire o se comunque abbia fatto il possibile per osservare la legge. Circostanze che, appunto, non sono state riscontrate nel caso in esame.

Il Garante ha quindi applicato alla banca una sanzione amministrativa di 100mila euro, anche tenuto conto che l’istituto - già in passato destinatario di un provvedimento analogo - non ha dimostrato, nel rispetto del principio di responsabilizzazione (accountability), di aver adottato o solo avviato un’adeguata riflessione sulle istruzioni fornite al personale riguardo alle richieste di accesso ai dati bancari, limitandosi a richiamare le attività formative genericamente erogate.

Dati sanitari e trasparenza della Pa: il Garante sanziona una Asl

I dati relativi alla salute godono di una tutela rafforzata e, fatte salve le eccezioni previste dalla norma, ne è vietata la diffusione. La trasparenza amministrativa non può violare la privacy delle persone. Per questi motivi, il Garante Privacy ha sanzionato per 46mila euro l’Azienda sanitaria locale Roma 1, che aveva pubblicato in chiaro sul proprio sito web  tutti i nominativi e i dati relativi alla salute dei soggetti che avevano fatto richiesta di accesso civico nel 2017 e 2018.

Nella maggior parte dei casi, gli atti riguardavano la documentazione sanitaria degli interessati, fra cui cartelle cliniche, accertamenti di invalidità, test, relazioni tecniche, ecc.

La prima grave violazione rilevata dall’Autorità, che si è attivata d’ufficio, è stata quindi la diffusione dei dati sulla salute dei soggetti interessati, informazioni relative sia allo stato fisico che mentale, compresa la prestazione di servizi di assistenza sanitaria.

Nel pubblicare i Registri di accesso, la Asl ha inoltre violato il principio di “minimizzazione” dei dati, che non sono risultati limitati a quanto necessario rispetto alle finalità di trasparenza amministrativa, per le quali sono trattati, e le disposizioni della disciplina in materia di trasparenza e delle Linee guida Anac sull’accesso civico, che stabiliscono di oscurare i dati personali eventualmente presenti.

Nel determinare la sanzione, il Garante ha comunque tenuto conto di alcuni elementi attenuanti, come, in particolare, il carattere del tutto accidentale della condotta, l’assenza di segnalazioni o lamentele dei soggetti interessati, il tempestivo intervento della Asl per porre rimedio alla violazione, la collaborazione con l’Autorità e le misure tecniche e organizzative messe poi in atto a garanzia dei dati personali.

Bonus patente autotrasporto: ok del Garante privacy alla piattaforma per l’erogazione
Il contributo è rivolto ai giovani tra i 18 e i 35 anni

Parere favorevole del Garante sullo schema di decreto, predisposto dal Ministero delle infrastrutture e della mobilità sostenibili (MIMS), di concerto con il Ministro dell’economia e delle finanze (MEF), che definisce i criteri e le modalità di concessione ed erogazione del “buono patente autotrasporto”.

Con il “Programma patenti giovani autisti per l’autotrasporto” il Governo ha istituito un fondo in favore dei cittadini di età compresa tra i 18 e i 35 anni per il conseguimento della patente e delle abilitazioni professionali per la guida dei veicoli destinati all’esercizio delle attività di autotrasporto di persone e merci. Si tratta di un contributo pari all’80% della spesa sostenuta e comunque di importo non superiore a 2.500 euro, da utilizzare nel periodo compreso tra il 1° luglio 2022 e il 31 dicembre 2026. Il voucher può essere richiesto solo per via telematica attraverso la piattaforma “Buono patenti” accessibile anche tramite il sito del MEF. L’applicazione web è gestita dalla società informatica Sogei. Lo schema in esame recepisce le indicazioni fornite dal Garante privacy riguardanti in particolare il ruolo assunto dai vari soggetti coinvolti nel trattamento dei dati (MIMS, Sogei, Consap), le funzionalità della piattaforma di erogazione, i profili di autorizzazione, i tempi di conservazione dei dati.

Per accedere al contributo, il richiedente deve registrarsi sulla piattaforma e compilare il modulo di istanza. L’identità dell’utente viene poi verificata in relazione ai dati del nome, cognome e codice fiscale attraverso Spid, CIE o CNS. Successivamente il Ministero attribuisce il buono nell’area riservata a ciascun beneficiario.

Per quanto riguarda le autoscuole, una volta accreditate, vengono inserite in un apposito elenco consultabile dai beneficiari. In caso di usi del buono difformi da quanto previsto dal decreto, Sogei procede in via autonoma alla cancellazione dall’elenco delle autoscuole.

Nel rendere parere favorevole il Garante dà atto al Ministero di aver individuato nelle convenzioni con Sogei e Consap le misure tecniche e organizzative volte ad assicurare un adeguato livello di sicurezza, con riferimento ai rischi per i dati personali derivanti dalla distruzione, perdita, divulgazione non autorizzata, accesso accidentale o illegale.

GDPR: consultazione sull’uso delle certificazioni per trasferire i dati all’estero

Le imprese e le organizzazioni della società civile avranno tempo fino al 30 settembre per proporre modifiche alle “Linee guida sulle certificazioni come strumento per i trasferimenti” dei dati personali in Paesi fuori dallo Spazio economico europeo, appena approvate dai Garanti privacy europei in seno all’EDPB.

Il documento messo in consultazione, e al quale ha contribuito anche il Garante italiano, fornisce chiarimenti ed esempi pratici per l’utilizzo delle certificazioni come strumento di trasferimento dei dati personali di interessati – come i propri clienti, dipendenti, utenti - verso Paesi terzi per i quali non sia stata riconosciuta l’adeguatezza da parte della Commissione europea. Lo strumento della certificazione può rivelarsi di particolare importanza, aggiungendosi ad altri strumenti già esistenti, come le clausole contrattuali standard, le clausole contrattuali ad hoc e le regole vincolanti di impresa.

Le linee guida appena approvate sono composte da quattro parti e approfondiscono aspetti specifici della certificazione come strumento per i trasferimenti. Nella prima parte si analizzano temi di carattere generale, tra cui il ruolo di chi importa dati nel Paese terzo che riceve una certificazione e quello di chi li esporta. Nella seconda parte, i Garanti forniscono chiarimenti su alcuni dei requisiti di accreditamento degli organismi di certificazione (già contenuti in precedenti linee guida EDPB e nell’ISO 17065). Nella terza parte si analizzano i criteri specifici per dimostrare l’esistenza di garanzie adeguate per il trasferimento, che riguardano in particolare la valutazione della legislazione dei Paesi terzi, gli obblighi generali degli esportatori e degli importatori, le norme in materia di trasferimenti successivi, i diritti dei terzi beneficiari e i mezzi di tutela esercitabili, le misure da adottare per le situazioni in cui la legislazione e le prassi nazionali impediscano il rispetto degli impegni assunti dall’importatore nell'ambito della certificazione e nei casi di richieste di accesso ai dati da parte delle autorità di paesi terzi. Nella quarta parte vengono affrontati gli impegni vincolanti e applicabili da attuare.

Il GDPR impone infatti che i titolari e i responsabili del trattamento non soggetti al Regolamento europeo, quando aderiscono a un meccanismo di certificazione destinato ai trasferimenti, assumano impegni vincolanti ed esecutivi attraverso strumenti contrattuali o altri strumenti giuridicamente vincolanti, riguardo alle garanzie previste dal meccanismo di certificazione, anche per quanto riguarda i diritti degli interessati.

Le linee guida propongono anche un allegato con esempi specifici per l'utilizzo di una certificazione come strumento per i trasferimenti.

L'ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

• "La protezione dati: da 25 anni la bussola del futuro". Convegno in occasione delle Celebrazioni per i 25 anni del Garante - Il 4 luglio a Torino – 24 giugno 2022

• Google: Garante privacy stop all’uso degli analytics - Dati trasferiti negli Usa senza adeguate garanzie - Comunicato del 23 giugno 2022

   

   

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it