NEWSLETTER N. 518 del 14 febbraio 2024

• Agenzie per il lavoro: varato dal Garante Privacy il Codice di condotta
• Dating online: il Garante Privacy sanziona per 200mila euro un sito di incontri
• Ricette mediche all’esterno dello studio: sanzionato un medico
• Sanità: sanzionato un centro di medicina estetica per violazione della privacy

Agenzie per il lavoro: varato dal Garante Privacy il Codice di condotta
I dati dei candidati possono essere raccolti solo su canali social di tipo professionale

Approvato dal Garante Privacy il Codice di condotta promosso da Assolavoro, l’Associazione Nazionale delle Agenzie per il Lavoro. Il Codice definisce le “buone prassi” per il corretto trattamento dei dati effettuato nell’ambito delle attività di intermediazione, ricerca e selezione del personale. Con lo stesso provvedimento l’Autorità ha accreditato l’Organismo di monitoraggio, un ente indipendente formato da tre componenti, chiamato a verificare l’osservanza del Codice da parte degli aderenti e a gestire la risoluzione dei reclami.

Il Codice, in corso di pubblicazione nella Gazzetta Ufficiale, introduce alcune significative previsioni a tutela dei candidati a posizioni lavorative, anche al fine di non consentire possibili discriminazioni nell’accesso al mercato del lavoro. In particolare, le Agenzie che aderiscono al Codice si impegnano a trattare solo dati strettamente necessari all’istaurazione del rapporto di lavoro, non devono pertanto svolgere indagini sulle opinioni politiche, religiose o sindacali dei lavoratori o effettuare preselezioni sulla base di informazioni che riguardano stato matrimoniale, gravidanza, handicap, neanche con il consenso dei candidati.

Nella fase che precede l’assunzione, le Agenzie non devono reperire informazioni attraverso la consultazione di profili social destinati alla comunicazione interpersonale. Le informazioni on line possono essere raccolte esclusivamente se rese disponibili su canali social che abbiano natura professionale, e limitatamente alle sole informazioni connesse alla competenza richiesta.

Le Agenzie per il lavoro, inoltre, non potranno acquisire referenze professionali del candidato presso precedenti datori di lavoro e comunicarle ai propri clienti, per conto dei quali è effettuata la ricerca di personale, senza una “previa autorizzazione esplicita del candidato”.

E non potranno trattare, anche con il consenso del candidato, informazioni relative a illeciti disciplinari o procedimenti giudiziari che lo abbiano coinvolto.

Mentre per quanto riguarda il delicato aspetto delle decisioni basate su un trattamento automatizzato, le Agenzie dovranno effettuare una dettagliata valutazione di impatto e nell’informativa resa ai lavoratori, indicare in modo chiaro i meccanismi alla base dell’automatizzazione e le valutazioni periodiche adottate per verificare l’affidabilità del sistema automatizzato.

Nel caso di trattamenti totalmente automatizzati ai lavoratori deve essere comunque sempre garantito almeno il diritto di ottenere l'intervento umano, di esprimere la propria opinione e di contestare la decisione.

Dating online: il Garante Privacy sanziona per 200mila euro un sito di incontri 

Il Garante privacy sanziona per 200 mila euro il gestore di un noto sito di dating online, per aver violato i dati personali di circa 1 milione di iscritti. È la prima volta che l’Autorità adotta un provvedimento nei confronti di un sito di incontri.

La decisione, assunta a seguito di una complessa attività istruttoria che ha richiesto anche un accertamento ispettivo in loco, ha rilevato l’illiceità dei trattamenti dei dati degli utenti, tra cui quelli relativi alle preferenze e agli orientamenti sessuali.

La registrazione nella piattaforma, che conta circa 5 milioni di iscritti in tutto il mondo (di cui oltre un milione con e-mail validata e quasi 10 mila con abbonamento attivo a pagamento), prevedeva l’inserimento di numerosi dati (interesse di incontro, nazione, regione, città di residenza, data di nascita, e-mail) e di foto, che i clienti caricavano all’interno del profilo pubblico o nell’area riservata, senza che venisse fornita loro adeguata informativa sull’uso che di quei dati sarebbe stato fatto. Nell’informativa presente sulla piattaforma non veniva infatti riportata alcuna indicazione rispetto ai molteplici e ulteriori trattamenti effettuati dalla società che gestisce la piattaforma per la fruizione dei servizi offerti, né informazioni sulla possibilità per gli interessati di esercitare i diritti previsti dalla normativa privacy, compreso quello di proporre reclamo al Garante.

Dall’ispezione effettuata dal Garante è emerso inoltre che il titolare del sito non disponeva di una specifica privacy policy inerente alle tempistiche di conservazione dei dati trattati, limitandosi a procedere in maniera casuale alla cancellazione degli account non più attivi e delle informazioni contenute, così come delle richieste di iscrizione non andate a buon fine.

La società, infine, pur essendovi tenuta, non aveva redatto il registro delle attività di trattamento, non aveva nominato il responsabile della protezione dati (RPD), né aveva predisposto la valutazione d’impatto (DPIA) richiesta dal Regolamento europeo.

In considerazione delle numerose violazioni riscontrate, il Garante, oltre alla sanzione pecuniaria, ha ordinato di adottare una serie di misure correttive volte a conformare i trattamenti alla normativa privacy. La società in particolare, oltre ad individuare tempistiche di conservazione delle informazioni personali trattate, a cancellare i profili utenti la cui conservazione risulti eccedente e a redigere la valutazione d’impatto, dovrà dotarsi di sistemi volti a rafforzare la sicurezza dei dati dei clienti, quali, ad esempio, misure di cifratura o di pseudonimizzazione dei dati sensibili, file di log dotati di marche temporali, sistemi antintrusione.

Ricette mediche all’esterno dello studio: sanzionato un medico

Lasciava le ricette per i suoi pazienti in un contenitore posto sul muro esterno dello studio medico, senza neppure proteggerle con buste chiuse. In questo modo, chiunque poteva liberamente aprire il contenitore e conoscere il contenuto delle prescrizioni. Per questo motivo è scattata la multa del Garante per la protezione dei dati personali che ha sanzionato un medico per 20.000 euro.

L’istruttoria dell’Autorità ha preso il via da un accertamento dei N.A.S. che hanno raccolto anche le testimonianze di alcuni assistiti del medico, alcuni dei quali individuati tra quelli che avevano ritirato le ricette dal contenitore.

Alla richiesta di informazioni del Garante, il medico si era giustificato affermando che la modalità di consegna delle ricette era stata attuata durante il periodo del Covid ed era stata poi mantenuta per alcuni mesi, con il consenso degli assistiti, allo scopo di agevolare il ritiro delle prescrizioni e limitare gli accessi dei pazienti allo studio medico.

Nel suo provvedimento di sanzione, l’Autorità ha ribadito che le informazioni relative alla salute possono essere sì comunicate a terzi, ma solo sulla base di un idoneo presupposto di legge o su delega scritta dell’interessato, e in ogni caso non possono mai essere diffuse. Il Garante ha inoltre ribadito quanto già affermato in passato e cioè che le ricette sanitarie possono essere lasciate presso le farmacie e gli studi medici, purché messe in busta chiusa, ma che lasciarle incustodite alla portata di tutti viola la privacy dei pazienti perché permette la diffusione di dati idonei a rivelare il loro stato di salute.

Nello stabilire l’importo della sanzione in 20.000 euro l'Autorità ha tenuto conto, tra l'altro, del gran numero dei pazienti coinvolti, della durata dalla violazione, accertata in circa due mesi, e del comportamento poco collaborativo del medico nel corso dell’istruttoria.

Sanità: sanzionato un centro di medicina estetica per violazione della privacy
Sul profilo social della struttura il volto riconoscibile di un paziente

Riconosce il proprio volto in un video postato sul profilo social del centro di medicina estetica dove si era sottoposto ad alcuni trattamenti al naso. Si rivolge al Garante Privacy che sanziona il centro medico con una multa di 8mila euro per trattamento illecito di dati sanitari.

L’Autorità ha accertato che effettivamente il video, postato dal centro medico per scopi divulgativi, riprendeva il volto riconoscibile del paziente per più di 30 secondi, senza che l’interessato avesse rilasciato uno specifico consenso alle riprese e alla relativa diffusione. Inoltre, il filmato era rimasto online accessibile a chiunque per 45 giorni, prima di venire rimosso dal centro medico a seguito della richiesta di cancellazione del paziente.

Con il provvedimento sanzionatorio, l’Autorità ha ribadito che è necessario prestare particolare attenzione nel diffondere immagini e informazioni riferite a casi clinici per scopi divulgativi o scientifici. Prima di farlo, occorre sempre accertarsi che il paziente sia stato preventivamente informato, abbia dato il proprio specifico consenso o che i suoi dati siano stati resi anonimi.

Il Garante, nel ricordare che in tale contesto, senza il consenso dell’interessato, è vietata la diffusione video di qualsiasi informazione sullo stato di salute, ha pertanto irrogato al centro medico una sanzione di 8mila euro per trattamento illecito di dati sanitari.  

L’Autorità ha inoltre ingiunto alla struttura sanitaria l’adozione di misure correttive per conformare l’informativa alla normativa privacy.

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

• Intelligenza artificiale: il Garante privacy sostiene il dialogo internazionale – Comunicato del 10 febbraio 2024

• Dati automobilisti in UK, Garante Privacy: questione già all'attenzione dell'Autorità – Comunicato del 9 febbraio 2024

   

   

   

   

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it