Tags Posts tagged with "garante della privacy"

garante della privacy

0
banca dati nazionale delle dat

Ok allo schema del decreto del Ministero della Salute che istituisce  la banca dati nazionale delle Disposizioni anticipate di trattamento (Dat). Il ‘testamento biologico’

Il Garante per la privacy ha dato l’ok allo schema di decreto ministeriale che istituisce la banca dati nazionale delle Disposizioni anticipate di trattamento (Dat). Il ‘testamento biologico’ consente alla persona di stabilire in anticipo i trattamenti sanitari ai quali intende essere sottoposta nel caso di sopravvenuta incapacità ad autodeterminarsi.

Obiettivo della banca dati è quello di costituire un polo unico nazionale delle dichiarazioni seppure su base volontaria, costantemente aggiornato. Il fine, inoltre, è quello di consentire un accesso tempestivo alle stesse da parte del personale medico in caso di necessità.

Nella banca dati, istituita presso il Ministero della salute, saranno raccolte le copie delle dichiarazioni, i successivi aggiornamenti, nonché la nomina e la revoca dell’eventuale fiduciario, anche di coloro che non sono iscritti al servizio sanitario nazionale. Il tutto con il consenso della persona che si è avvalsa del testamento biologico

Ai dati, che saranno conservati per 10 anni dal decesso dell’interessato, potranno accedere il medico, che ha in cura il paziente incapace di esprimere la propria volontà, e il fiduciario, se nominato.

La banca dati sarà alimentata dagli ufficiali di stato civile comunali, dai notai e dal responsabile dell’Unità organizzativa competente delle Regioni che abbiano predisposto il servizio, presso i quali sono depositati gli “originali” delle Dat. Tali soggetti, potranno trasmettere copia della Dat alla banca dati nazionale mediante un modulo elettronico, le cui specifiche tecniche sono definite in un disciplinare allegato al decreto.

Il testo sul quale è stato espresso il parere, tiene conto di molte delle indicazioni già fornite dall’Ufficio del Garante nel corso di un tavolo tecnico istituito presso il Ministero, come ad esempio, la comunicazione all’interessato, che ne abbia fatto richiesta, dell’avvenuta acquisizione della documentazione nella banca dati nazionale e, per quanto riguarda i tempi di conservazione, la cancellazione dei dati trascorsi dieci anni dal decesso del dichiarante.

L’Autorità ha chiesto, tuttavia, di apportare ulteriori modifiche al testo per renderlo pienamente conforme alla normativa sulla protezione dei dati. In particolare, in attesa della realizzazione della banca dati nazionale, il Garante ha chiesto maggiori tutele per quanto riguarda le modalità di accesso alle Dat, da parte del medico che ha in cura l’assistito o del fiduciario, come pure la corretta individuazione dei soggetti, che in qualità di titolari del trattamento, sono legittimati a trasmettere le Dat alla banca dati.

Il Ministero, quindi, dovrà individuare modalità più rispettose della disciplina sulla riservatezza per fornire al medico e al fiduciario le informazioni circa l’esistenza della dichiarazione ed il luogo dove la stessa è conservata.

Leggi anche:

REGISTRO DAT, GIULIA GRILLO: “NESSUNA INERZIA DA PARTE DEL MINISTERO”

0
registro dat

Il Ministro evidenzia come il dicastero stia lavorando sul regolamento per attuare gli adempimenti chiesti dal Viminale sul registro DAT

“Facciamo un po’ di chiarezza sui motivi del ritardo dell’avvio della banca dati nazionale sulle Dat (Disposizioni Anticipate di Trattamento), ritardo non causato per inerzia del ministero della Salute. Nel decreto Semplificazione avevamo proposto infatti nuove norme che avrebbero permesso di assicurare piena efficacia alla banca dati sulla base di specifiche richieste del ministero dell’Interno. Purtroppo queste norme sono state stralciate (insieme a molte altre) dal testo definitivo perché non coerenti con il resto del decreto” . Così il Ministro della Salute, Giulia Grillo, replica senza citarla all’Associazione Coscioni che ha lamentato il mancato rispetto dei tempi sull’attuazione del Registro Dat.

“Contestualmente – chiarisce Grillo-  il ministero è riuscito ad ottenere specifiche risorse, pari a 400mila euro all’anno, per avviare la realizzazione informatica della banca dati, consentendo il funzionamento a regime. Prima di noi avevano disposto un finanziamento solo per l’avvio e non per l’esercizio”.

Questo cosa significa concretamente? Da un lato il ministero sta continuando a lavorare sulla parte informatica, completando la realizzazione infrastrutturale della banca dati. Dall’altro si stanno studiando soluzioni coerenti con i rilievi che continuano a provenire dal ministero dell’Interno, nella consapevolezza di dover adottare un regolamento che va ben oltre la definizione di un decreto ministeriale. Questa necessità è stata per altro evidenziata dal Garante della Privacy che chiede un adeguamento anche in tema di riservatezza dei dati sensibili, essendo cambiata la normativa europea (adozione GDPR).

La ricostruzione evidenzia che non vi è stata mai alcuna inerzia da parte del ministro e del ministero della Salute e che la realizzazione della banca dati sia stata impedita da circostanze estranee alla volontà di chi guida questo dicastero.

“Noi fin dai primi giorni ci siamo adoperati per sbrogliare la matassa causata da elementi di complicazione e quindi da una legge che introduce grandi principi di civiltà, ma che purtroppo contiene gravi elementi di farraginosità applicativa” precisa Giulia Grillo.

“Io ce la sto mettendo tutta, con i miei uffici, per superare le difficoltà che continua a evidenziarmi il ministero dell’Interno. Ci aspettano ancora dei tempi tecnici per l’adozione del regolamento – conclude il ministro – ma voglio assicurare la mia più decisa volontà di arrivare a una soluzione efficace e condivisa su un tema così atteso e non più rinviabile. Nessun giorno in più potrà essere addebitato al ministero della Salute, che ha già definito il testo base del regolamento che dovrà passare per i pareri previsti dalla legge”.

 

Leggi anche:

FINE VITA: QUALI TUTELE LEGALI IN CASO DI DECESSO INCOMBENTE?

personale infermieristico

Il Garante della Privacy, rispondendo alla richiesta di un’azienda ospedaliera, ha chiarito che le strutture sanitarie non possono trasmettere in modo massivo i dati di tutto il loro personale infermieristico

Le strutture sanitarie non possono trasmettere in modo massivo i dati di tutto il loro personale infermieristico all’Ordine professionale di riferimento. L’Ordine delle professioni infermieristiche, nello svolgimento degli specifici compiti istituzionali di vigilanza e disciplinari, può infatti trattare i dati di chi abbia richiesto l’iscrizione all’albo. Deve essere il datore di lavoro ad accertare, all’atto dell’assunzione e nel corso del rapporto di lavoro, che un infermiere sia dotato dei requisiti necessari per prestare servizio e che sia iscritto all’apposito albo professionale.

Queste le indicazioni fornite dal Garante della privacy a un’azienda ospedaliera che chiedeva di poter trasmettere, pur non avendo un’apposita base normativa, i dati di tutto il suo personale infermieristico al relativo ordine professionale, il quale intendeva effettuare controlli sulle iscrizioni.

Nel presentare l’istanza al Garante, sia l’Ospedale sia l’Ordine delle professioni infermieristiche avevano rappresentato che tale comunicazione di dati personali fosse utile per l’esecuzione di un compito di interesse pubblico, in quanto consentiva di verificare che tutti gli infermieri in servizio rispettassero i requisiti previsti dal decreto che, nel 2018, ha modificato la legge di Ricostituzione degli Ordini delle professioni sanitarie e per la disciplina dell’esercizio delle professioni stesse.

Nella sua risposta, però, il Garante ha evidenziato che l’attuale quadro normativo non attribuisce agli Ordini – pur dotati di specifici poteri disciplinari e di vigilanza – competenze per generalizzate attività di ricerca e raccolta di informazioni personali riferite al personale infermieristico.

Spetta invece al datore di lavoro l’obbligo di effettuare le necessarie verifiche sul possesso dei particolari requisiti previsti per l’accesso a specifici impieghi, inclusa l’iscrizione del singolo professionista al relativo albo che, tra l’altro, è pubblico e reperibile anche on line.

L’Autorità ha quindi dichiarato che non sussistono i presupposti di liceità per la comunicazione generalizzata dei nominativi e della residenza degli infermieri impiegati dalle aziende sanitarie agli ordini territorialmente competenti. Tenendo conto del numero di quesiti pervenuti sul tema, ha inoltre trasmesso la decisione anche alla Federazione nazionale delle professioni infermieristiche al fine di darne ampia diffusione presso gli ordini provinciali e le altre istituzioni coinvolte.

 

Leggi anche:

ASSENTEISMO NEL PUBBLICO IMPIEGO: L’AUDIZIONE DEL GARANTE DELLA PRIVACY

assenteismo

È auspicabile che l’utilizzo dei sistemi di rilevazione biometrica per il contrasto al fenomeno dell’assenteismo e della falsa attestazione della presenza in servizio sia limitato alle sole ipotesi di effettiva presenza di fattori di rischio specifici e soltanto qualora soluzioni meno invasive siano ragionevolmente ritenute inidonee allo scopo

È attualmente all’esame delle Commissioni riunite I (Affari Costituzionali) e XI (Lavoro) della Camera dei Deputati, il disegno di legge C. 1433 recante interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo

Il 6 febbraio 2019 è stato sentito il Presidente dell’Autorità Garante per la protezione dei dati personali, Antonello Soro, che ha ribadito l’importanza di riformulare il testo legislativo nell’ottica di renderlo compatibile con la disciplina europea in materia di limitazioni all’esercizio dei diritti e delle libertà dalla stessa riconosciuti; tra questi rileva principalmente il diritto alla protezione dei dati personali.

Nella specie, sono stati richiamati i principi di proporzionalità e di necessità che come noto ammettono limitazioni dei diritti fondamentali solo se “siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione europea o all’esigenza di proteggere i diritti e le libertà”.

I principi di necessità e proporzionalità sono stati declinati con particolare nettezza dalla disciplina di protezione dati di cui al Regolamento 2016/679, nonché alla direttiva 2016/680 (per giustizia penale e polizia) e interpretati con implicazioni di assoluto rilievo dalla Corte di giustizia.

Il Regolamento 2016/679 ha a sua volta valorizzato ulteriormente il canone di proporzionalità soprattutto in ambito pubblico.

La necessità e le misure di contrasto all’assenteismo nella PA

L’Air (analisi impatto regolazione) ha sempre più spesso rilevato l’esigenza di contrasto al fenomeno della falsa attestazione della presenza in servizio. Le statistiche ci dicono infatti che il 10% dei provvedimenti di licenziamento disciplinare adottati nell’ultimo anno derivano da accertamento in flagranza di falsa attestazione della presenza in servizio: in valore assoluto 89, metà dei quali definiti con altro tipo di provvedimento, in alcuni casi anche per mutata contestazione.

Cosicché l’articolo 2 del ddl, ha previsto per tutte le amministrazioni pubbliche – eccetto per il personale in regime di diritto pubblico e per il lavoro agile – l’obbligo di introduzione di sistemi di verifica biometrica dell’identità e di videosorveglianza degli accessi, in sostituzione dei diversi sistemi di rilevazione automatica, attualmente in uso, ai fini della verifica dell’osservanza dell’orario di lavoro.

Il Garante, tuttavia, ha ritenuto che la versione del disegno di legge attualmente all’esame delle Commissioni non sia conforme con i citati criteri di derivazione europea.

Secondo il tenore letterale della norma, infatti, sebbene l’inciso inerente il rispetto dei principi di proporzionalità, non eccedenza e gradualità, parrebbe continuare a configurare la rilevazione biometrica -unitamente peraltro alle videoriprese- quale obbligatoria in ogni pubblica amministrazione.

Ebbene– aggiunge il Garante -, non può ritenersi in alcun modo conforme al canone di proporzionalità l’ipotizzata introduzione sistematica, generalizzata e indifferenziata per tutte le pubbliche amministrazioni, di sistemi di rilevazione biometrica delle presenze, in ragione dei vincoli posti dall’ordinamento europeo per l’invasività di tali forme di verifica e le implicazioni proprie della particolare natura del dato.

In tale ottica sarebbe opportuno prevedere:

a) l’alternatività del ricorso alla biometria o alla videosorveglianza;

b) l’introduzione di tali nuovi sistemi di rilevazione non già come obbligatoria ma ammessa al ricorrere di particolari esigenze (ad esempio le dimensioni dell’ente, il numero dei dipendenti coinvolti, la ricorrenza di situazioni di criticità che potrebbero essere anche influenzate dal contesto ambientale) e ove altri sistemi di rilevazione delle presenze non risultino idonei rispetto agli scopi perseguiti.

Ove invece si confermasse la versione attuale della norma – interpretandola come volta a sancire l’indiscriminata e astratta obbligatorietà dei nuovi sistemi di rilevazione – essa sarebbe difficilmente compatibile con il criterio di “necessità nel rispetto del principio di proporzionalità” di cui all’art. 52 della Carta di Nizza.

La redazione giuridica

 

Leggi anche:

FATTURA ELETTRONICA, PREOCCUPAZIONI SU SICUREZZA E PRIVACY

0
fatturazione elettronica

Per l’Autorità la fatturazione elettronica potrebbe violare la normativa sulla protezione dei dati. Questo, a causa di una sproporzionata raccolta di informazioni.

Secondo il garante della privacy, le nuove regole sulla fatturazione elettronica potrebbero comportare dei rischi per la sicurezza.

La ragione? Una sproporzionata raccolta di informazioni e molti rischi di usi impropri da parte di terzi.

Per tale ragione, la fatturazione elettronica va cambiata. A dirlo è il Garante per la privacy il quale ha lanciato un monito all’Agenzia delle entrate sulla e-fattura in vigore dal prossimo primo gennaio.

L’Autorità ha infatti chiesto all’Agenzia di conoscere con urgenza “come intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica”.

In questo modo, per la prima volta, il Garante esercita il potere di avvertimento. Un potere di norma attribuito dal Regolamento europeo.

Sui dati archiviati dall’Agenzia per finalità di controllo, vi sarà anche la fattura che già contiene informazioni di dettaglio ulteriori sui beni e servizi acquistati.

Tra questi vi sarebbero le abitudini e le tipologie di consumo, la descrizione delle prestazioni sanitarie o legali e molto altro.

Non solo. In merito alla fatturazione elettronica, l’Agenzia delle entrate ha deciso di mettere sul proprio portale “tutte le fatture in formato digitale, anche per chi preferirà comunque continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore, come garantito dal legislatore”.

A questo vanno aggiunte le difficoltà che derivano dal ruolo assunto dagli intermediari delegabili dal contribuente per la trasmissione, la ricezione e la conservazione delle fatture, e non solo.

In questo modo “accentrando – si legge – enormi masse di dati personali con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici”.

Sotto la lente di ingrandimento vi sono poi le modalità di trasmissione attraverso lo SDI e gli ulteriori servizi offerti dall’Agenzia.

Servizi che presentano criticità circa i profili di sicurezza. A partire dalla mancata cifratura della fattura elettronica, con la conseguente possibile memorizzazione dei documenti sui server di posta elettronica.

Alla luce di tutti questi motivi, per il Garante della privacy la fatturazione elettronica va rivista introducendo misure tecnico organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica.

 

Leggi anche:

E-FATTURA: GUIDA, VIDEO-TUTORIAL E NUOVA SEZIONE SUL SITO DELLE ENTRATE

0
controlli in strada

Via libera del Garante della Privacy allo schema di decreto che prevede l’accesso da parte della polizia municipale alla banca dati del ministero dell’interno per rafforzare i controlli in strada su veicoli e documenti rubati

Via libera allo schema di decreto che regolerà l’accesso della polizia municipale alla banca dati del Viminale per la verifica dei veicoli e dei documenti rubati. L’ok arriva dal parere n. 316/2018 del Garante della Privacy, come riporta il quotidiano Italia Oggi. Per questa tipologia di attività, volta a rendere più incisivi i controlli in strada, andranno dettagliati bene i rapporti tra comune e dipartimento di pubblica sicurezza.

Il testo del regolamento prevede la possibilità da parte degli operatori qualificati di polizia locale di accedere a una piccola porzione della banca dati del ministero dell’interno. Ciò limitatamente alla verifica dei veicoli e dei documenti smarriti.

La consultazione, tuttavia, impone la necessità di regolare dettagliatamente anche la questione del trattamento dei dati personali.

Peraltro si tratta di un sistema che sarà realizzato in modalità automatica in molte città grazie ai moderni impianti di videosorveglianza collegati tramite le questure con il ced del Viminale.

A tal proposito il Garante è intervenuto chiarendo aspetti importanti anche per l’ordinaria attività della polizia municipale. Sulla questione, infatti, non troverebbe diretta applicazione non il Gdpr, bensì la direttiva n. 2016/680. Quindi non occorre regolare l’attività di trattamento dei dati ai sensi del codice della privacy ma facendo specifico riferimento dal dlgs 51/2018.

Il titolare del trattamento dei dati, a parere dell’autorità centrale, non sarà solo il dipartimento di pubblica sicurezza ma anche il Comune. Il comandante della polizia locale diventerà quindi un contitolare del trattamento di questi dati.
Per la regolarizzazione della gestione tecnica e dell’attività operativa spetterà quindi al dirigente nominare i soggetti autorizzati.

In ogni caso, sottolinea il Garante, sarà opportuno regolare queste attività speciali effettuate dalla polizia locale in un regolamento comunale ad hoc. Tale documento risulta necessario per orientare meglio la complessa attività di adeguamento dei comandi alle nuove regole sulla privacy.

 

Leggi anche:

PROTEZIONE DEI DATI PERSONALI, RISCHI E OPPORTUNITÀ DEL GDPR

0
Si chiama E-state in privacy il vademecum che il Garante per la protezione dei dati personali ha diffuso con una serie di informazioni utili anche in vacanza

Si chiama E-state in privacy il vademecum che il Garante per la protezione dei dati personali ha diffuso con una serie di informazioni utili anche in vacanza

Le vacanze, si sa, aumentano la voglia di scattare foto e pubblicarle, ma occhio alla privacy: con ‘ E-state in privacy ’, il Garante per la protezione dei dati personali pubblica l’edizione 2018 del vademecum per le informazioni utili anche mentre si è in ferie.

Ecco dunque una serie di buoni consigli per non esporsi eccessivamente mettendo così a rischio i propri dati personali.

Foto e privacy

In primis, mentre scattiamo le foto è bene fare attenzione a quelle in cui compaiono altre persone. È infatti sempre meglio prima accertarsi che queste siano d’accordo, e chiedere il consenso prima di inserire nomi e tag.

Stesso discorso vale per le foto che ritraggono minori, così come i video. Se si decide di pubblicarle vanno utilizzati espedienti come, ad esempio, rendere irriconoscibile il viso del minore. Questo per evitare che malintenzionati possano salvarle e farne un cattivo uso.

Altro elemento importante è evitare le geolocalizzazioni: queste fanno sapere a tutti (compresi i ladri) che siamo lontani da casa.

Per quel che concerne smatphone, tablet e telefonini, in generale, occorre mantenere aggiornamenti software costanti e aggiornare i programmi antivirus. Consigliato è anche l’uso di anti-spyware e antispam come precauzioni per evitare furti di dati o violazioni della privacy.

Attenzione poi a mantenere bene aggiornati anche i sistemi operativi di tutti i dispositivi utilizzati per garantirsi una maggiore protezione.

Inoltre, al fine di proteggere i dati contenuti nei dispositivi, conviene impostare un codice di accesso sicuro. Fondamentale è anche conservare con cura il codice IMEI, che si trova sulla scatola al momento dell´acquisto e che serve a bloccare il dispositivo a distanza.

Altro consiglio importante riportato nel vademecum E-state in privacy, diffuso dal Garante, è quello di fare backup di tutte le informazioni (numeri di telefoni, foto, ecc.) prima della partenza.

Riguardo ai dispositivi domotici il rischio di attacchi informatici, virus e malware è sempre in agguato. È quindi bene assicurarsi che siano protetti in modo adeguato.

Restando in tema vacanze, E-state in privacy ricorda di fare attenzione alle offerte troppo “low cost” chepotrebbero arrivare sui telefonini.

Nel caso di utilizzo di servizi online per prenotazioni, è bene usare carte di credito prepagate o altri sistemi di pagamento che permettono di evitare la condivisione di dati del conto bancario o della carta di credito.

Fondamentale risulta poi impostare sistemi di alert che avvisano in tempo reale delle transazioni che avvengono sul conto o sulla carta di credito, onde evitare cattive sorprese.

Infine, un’ultima accortezza importante è quella di controllare che l’indirizzo internet dei siti su cui si fanno pagamenti on line non appaia anomalo.

 

Leggi anche:

PRIVACY: L’INDIRIZZO EMAIL PUÒ ESSERE CONSIDERATO UN DATO PERSONALE?

0
designazione del DPO

L’imminente entrata in vigore del regolamento europeo sulla privacy ha sancito l’obbligo di nomina del DPO, ovvero del responsabile della protezione dati. Ecco quali categorie sono, invece, esentate. 

Buone notizie per gli avvocati e i liberi professionisti: per loro, la designazione del DPO, il responsabile della protezione dati, non è obbligatoria.

L’obbligo di nomina del DPO, come noto, è previsto dall’imminente entrata in vigore – dal 25 maggio 2018 – del regolamento europeo sulla privacy.

Per coloro i quali non dovessero mettersi in regola sono anche previste sanzioni molto salate.

Proprio per questo motivo la data del 25 maggio, sempre più vicina, è fonte di preoccupazione per tutti coloro che vengono in contatto con i dati personali altrui e che, quindi, devono affrettarsi a mettersi in regola per evitare di incorrere in pesanti sanzioni.

La nuova figura del Responsabile della protezione dati (anche denominato RDP) è chiamata ad assumere un ruolo di primo piano nel mondo della privacy nella sua accezione più moderna.

Tuttavia, non tutti quelli che hanno a che fare con dati sensibili e privacy dovranno nominare un DPO.

Ciò dal momento che la designazione di tale soggetto è limitata solo a specifiche categorie.

Tra le categorie “esentate” dall’obbligo, ci sono proprio i legali insieme ai liberi professionisti.

Infatti, sulla base di quanto previsto dal Regolamento, la designazione del Responsabile della protezione dei dati va necessariamente fatta solo dalle autorità pubbliche e dagli organismi pubblici.

Fanno però eccezione le autorità giurisdizionali laddove esercitino le loro funzioni giurisdizionali.

Così come i soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.

Pertanto, devono essere esentati dalla designazione del DPO tutti i soggetti che non rientrano nelle precedenti categorie.

Recentemente, sul sito del Garante della Privacy sono state pubblicate delle F.A.Q. proprio per rispondere a una serie di quesiti.

Qui si specifica che avvocati e liberi professionisti che operano in forma individuale non devono sottostare a tale obbligo.

A tali soggetti si affiancano altre categorie. Si tratta degli agenti, dei rappresentanti e dei mediatori operanti non su larga scala, in primis.

A seguire, le imprese individuali o familiari.

Infine, sono esentate le piccole e medie imprese con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

Ma attenzione.

Per il Garante della privacy l’assenza di un obbligo di designazione del DPO non significa che tale nomina non sia comunque raccomandata e auspicabile.

E questo, specifica il Garante, anche alla luce del principio di “accountability” che permea il GDPR.

 

 

Leggi anche:

MANCATA NOMINA DEL DPO: MULTE FINO A 10 MILIONI DI EURO

0
Pec degli avvocati: il Garante della Privacy vieta lo spam

Il Garante sulla privacy si è espresso sul divieto alle società di invio di mail promozionali sulle pec dei professionisti senza il consenso degli interessati.

Spam sulle pec degli avvocati? Il Garante della Privacy dice no. Nella newsletter n. 438 del 28 febbraio scorso, infatti, ha chiarito esplicitamente il divieto alle società di invio di mail promozionali senza il consenso dei diretti interessati.

Alcune società di invio di mail promozionali, infatti, attingevano agli elenchi pubblicati da determinati ordini provinciali, inviando spam in modo illecito.

Come ha chiarito la newsletter, il Garante si è espresso nei confronti di una società e di un’associazione ad essa collegata. In particolare, ha vietato espressamente l’invio senza consenso di e-mail promozionali a liberi professionisti sui loro indirizzi di posta elettronica certificata.

Nel caso specifico, era emerso che alcuni collaboratori volontari dell’associazione, insieme ad una società terza, avevano reperito online gli indirizzi mail Pec degli avvocati.

Ma anche di commercialisti, revisori contabili, consulenti del lavoro e notai, con varie modalità manuali e automatizzate.

Un’azione realizzata in palese violazione dei principi di finalità, liceità e correttezza del trattamento dei dati personali.

La società in questione aveva inviato agli indirizzi di più di 800.000 professionisti diverse e-mail. In esse, vi era la notizia della pubblicazione di un bando di selezione per “consulente reputazionale”.

Tra le mail di spam vi era anche l’invito a partecipare ad un webinar e articoli relativi alla società mittente.

Gli indirizzi dunque, oltre ad essere stati utilizzati senza consenso, erano stati reperiti in modo illecito da varie fonti. Tra queste, il registro Ini-Pec, dall’Indice nazionale dei domicili digitali, dal sito registroimprese.it e dagli elenchi pubblicati da alcuni ordini provinciali.

Ebbene, per legge invece, l’estrazione di elenchi di indirizzi di posta elettronica certificata contenuti nel registro delle imprese o negli albi o elenchi “è consentita alle sole pubbliche amministrazioni per le comunicazioni relative agli adempimenti amministrativi di loro competenza”.

In questo caso invece, l’invio delle e-mail era stato fatto dopo che il destinatario si era già opposto formalmente al trattamento dei suoi dati personali, esercitando i diritti previsti dal Codice privacy.

Le società in questione hanno evidenziato di aver operato esentate dalla richiesta del consenso preventivo sulla base della presunta natura “istituzionale” delle comunicazioni.

Un’obiezione che non ha trovato accoglimento presso il Garante, il quale ha invece specificato che le e-mail avevano carattere promozionale.

Ciò in quanto favorivano le attività dell’associazione connesse alla figura di “consulente reputazionale”.

Per queste ragioni, avrebbero dovuto essere inviate nel rispetto delle regole previste dal Codice privacy e dalle Linee guida del Garante in materia di attività promozionale e contrasto allo spam.

Alla luce di tali considerazioni, l’Autorità ha vietato alla società e all’associazione l’ulteriore illecito trattamento dei dati dei professionisti. Infine, ne ha prescritto la cancellazione, riservandosi di valutare eventuali profili sanzionatori.

 

 

 

Leggi anche:

EPRIVACY, IL NUOVO REGOLAMENTO AL VAGLIO DELLA COMMISSIONE UE

0
Dati sanitari alle multinazionali senza consenso: ok dell’Italia

In Italia passa la norma che consentirà la diffusione di dati sanitari alle multinazionali senza consenso a scopo di ricerca scientifica

È comparsa a sorpresa nella legge europea 2017, pubblicata il 28 novembre in G.U., la norma che permette di diffondere dati sanitari alle multinazionali senza consenso. Lo scopo è la ricerca scientifica, ma sono in tanti a storcere il naso, anche perché in gioco ci sono grossi interessi delle multinazionali tecnologiche.

Con questa decisione, saranno trasmessi i nostri dati sanitari alle multinazionali senza consenso, sebbene a scopia scientifici o statistici.

Il tutto è stato autorizzato, a sorpresa, da due articoli comparsi nella “legge europea 2017”, la 167, con cui l’Italia recepisce obblighi comunitari.

Si tratta, dunque, di un implicito via libera dell’Italia a un dossier che aveva suscitato grosse polemiche e lo stop del Garante della Privacy. Vale a dire l’accordo tra il Governo Renzi e l’Ibm per l’uso dei dati sanitari italiani – a partire da quelli della Lombardia – in cambio dell’apertura a Milano del suo centro Watson Health.

Ibm, come tutte le multinazionali tecnologiche, ha bisogno dei dati dei cittadini per alimentare i propri sistemi di intelligenza artificiale, rendendoli più competitivi in quello che tutti gli esperti considerano il business del futuro.

Tuttavia questo pone un problema di privacy non indifferente, oltre a muovere un giro d’affari spaventoso.

Secondo le stime, sono almeno 4 miliardi di dollari quelli previsti nel 2017 solo per i big data nella Sanità, e per Sns Research ci sarà una crescita del 15% annuo fino al 2030.

La legge appena passata che permetterà di trasmettere i nostri dati sanitari alle multinazionali senza consenso, anticipa il regolamento europeo (Gdpr) che entra in vigore a maggio 2018. Ma ciò avviene con una permissività che preoccupa gli esperti.

Secondo Francesco Pizzetti, ex garante della privacy e docente ordinario di Diritto Costituzionale pressol’Università di Torino “tra qualche giorno sarà possibile dare, per scopi di ricerca scientifica o statistici, tutti i dati degli italiani, con la sola tutela di un’autorizzazione da parte del Garante Privacy prevista in modo troppo generico dalla norma”.

E non è tutto.

“La norma – prosegue Pizzetti – non prevede infatti il diritto dell’utente a essere informato né ad accedere a questi dati. Vincola l’autorizzazione del Garante solo al fatto che i dati siano anonimizzati e che sia rispettato il principio di minimizzazione dell’utilizzo. Ossia che siano usati solo quelli che servono per quella ricerca scientifica”.

A creare perplessità è anche l’anonimizzazione. La norma, infatti, non chiarisce affatto se sia lo Stato a dover anonimizzare i dati o lo possa fare anche un soggetto privato.

Nel secondo caso, significa che l’azienda destinataria avrebbe comunque accesso ai nostri dati in chiaro. Nel primo, occorrerà capire se lo Stato sia in grado di reclutare competenze sufficienti per anonimizzare bene i dati.

Se così non fosse, i nostri dati sanitari sarebbero a rischio, e potrebbero anche finire nelle mani di cyber criminali o di aziende di assicurazione.

Insomma, la questione è molto complessa, perché se da un lato l’intelligenza artificiale fa avanzare la medicina, dall’altro è importante tutelare i soggetti privati.

La sfida oggi deve essere tutelare sia il diritto alla salute del cittadino che quello alla sua privacy.

Un difficile equilibrio dal quale, comunque, non è possibile prescindere.

 

 

Leggi anche:

CYBER SECURITY, IN SANITÀ OLTRE 700MILA ATTACCHI INFORMATICI AL MINUTO

LE ULTIME NEWS

notifica della sentenza via pec

0
Il mancato deposito telematico delle ricevute di accettazione e consegna della notifica via pec della sentenza di primo grado, impedisce la...