Privacy

Privacy e protezione dei dati personali

Garante Privacy: parere su direttiva UE antiriciclaggio (22 marzo 2017)

170322-garante-privacy.jpg

Il 9 marzo 2017 l’Autorità Garante per la protezione dei dati personali ha reso noto il provvedimento n. 125  che esprime un “parere favorevole condizionato” sullo schema di decreto legislativo recante disposizioni per il recepimento della direttiva (UE) 2015/849 (c.d. "quarta direttiva"), concernente la prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo.
Nel seguito dell'articolo il testo integrale del provvedimento.

Ultimi articoli su "Antiriciclaggio"

443px-Money-laundering.svg.png

(image from http://commons.wikimedia.org/wiki/File:Money-laundering.svg)

Ultimi articoli su Privacy

Segui ComplianceNet sui social networks

140709-linkedin2.jpg  facebook facebook

*

ComplianceNet: 

Antiriciclaggio: Garante Privacy multa 5 società di Money transfer (13 marzo 2017)

170310-privacy-money-transfer.jpg

Sanzioni per oltre 11 milioni di euro sono state comminate dal Garante privacy a cinque società che operano nel settore del money transfer per aver usato in modo illecito i dati personali di più di  mille persone inconsapevoli

Money transfer: Garante privacy, 11 mln di multa a cinque società per uso illecito di dati

Sanzioni per oltre 11 milioni di euro sono state comminate dal Garante privacy a cinque società che operano nel settore del money transfer per aver usato in modo illecito i dati personali di più di  mille persone inconsapevoli [doc. web nn. 6009674, 6010438, 6009876, 6010258 e 6009746].
Le gravi violazioni sono emerse nel corso di un'indagine della Procura di Roma.
Il Nucleo di polizia valutaria della Guardia di finanza su delega della magistratura ha infatti accertato che una multinazionale, in concorso con altre quattro società, raccoglieva e trasferiva in Cina somme di denaro riconducibili a imprenditori cinesi, in violazione non solo della normativa antiriciclaggio, ma anche di quella sulla protezione dei dati personali.
La violazione della normativa sulla privacy ha determinando l'intervento del Garante.
Per assecondare il desiderio della clientela di impedire l'associazione tra le rimesse finanziarie e i reali mittenti le società operavano attraverso la tecnica del frazionamento (dividendo cioè le somme di denaro in più operazioni sotto la soglia prevista dalla normativa antiriciclaggio) e attribuivano i trasferimenti di denaro a più di mille clienti del tutto ignari, utilizzando illecitamente i loro dati.
Il trattamento dei dati avveniva senza consenso.
I nominativi ai quali erano intestati i trasferimenti non erano mai i reali mittenti e, in alcuni casi, i moduli risultavano compilati da persone decedute o inesistenti, oppure non firmati.
Gli invii di denaro, poi, venivano effettuati a pochi secondi l'uno dall'altro, per importi appena sotto soglia e indirizzati allo stesso destinatario.
I nominativi cui erano attribuiti i trasferimenti, inoltre, erano tratti da fotocopie di documenti di identità, conservati in appostiti raccoglitori, e da utilizzare all'occorrenza.
Alla luce dei risultati dell'indagine, il Garante, tenuto conto della gravità delle violazioni commesse dalle società, del numero delle persone coinvolte i cui dati sono stati trattati senza consenso e della rilevanza della banca dati, ha inflitto le seguenti sanzioni: 5.880.000 euro alla multinazionale, 1.590.000, 1.430.000, 1.260.00 e 850.000 euro rispettivamente ad ognuna delle altre quattro società,  per un importo complessivo di oltre 11 milioni di euro.
Le società hanno 30 giorni di tempo dalla notificazione dei provvedimenti per il pagamento delle sanzioni.

Ultimi articoli su "Antiriciclaggio"

443px-Money-laundering.svg.png

(image from http://commons.wikimedia.org/wiki/File:Money-laundering.svg)

Ultimi articoli su Privacy

Segui ComplianceNet sui social networks

140709-linkedin2.jpg  facebook facebook

*

ComplianceNet: 

Privacy, UE: proposta di nuove norme per la protezione dei dati personali (12 gennaio 2017)

140206-CE_logo-3

La Commissione propone norme per tutte le comunicazioni elettroniche che garantiscono un elevato livello di tutela della vita privata e aggiorna le norme sulla protezione dei dati per le istituzioni dell'UE

Bruxelles, 10 gennaio 2017
La Commissione propone nuovi atti legislativi per tutelare maggiormente la riservatezza nelle comunicazioni elettroniche e allo stesso tempo schiudere nuove opportunità commerciali.
Le misure presentate oggi sono volte ad aggiornare le norme attuali, estendendone il campo di applicazione a tutti i fornitori di comunicazioni elettroniche. Mirano inoltre a creare nuove possibilità per trattare i dati relativi alle comunicazioni e rafforzare la fiducia e la sicurezza nel mercato unico digitale, il che costituisce uno degli obiettivi principali della strategia per il mercato unico digitale. Allo stesso tempo, la proposta allinea le norme sulle comunicazioni elettroniche alle nuove norme tecniche di altissimo livello del regolamento generale dell'UE sulla protezione dei dati. La Commissione propone inoltre nuove norme per fare in modo che il trattamento dei dati personali ad opera delle istituzioni e degli organismi dell'UE garantisca lo stesso livello di tutela della riservatezza previsto negli Stati membri a norma del regolamento generale sulla protezione dei dati, e definisce un approccio strategico alle questioni concernenti i trasferimenti internazionali dei dati personali.
Frans Timmermans, primo Vicepresidente della Commissione, ha dichiarato: "Grazie alle nostre proposte, che completeranno il quadro dell'UE in materia di protezione dei dati, la riservatezza delle comunicazioni elettroniche sarà protetta da norme aggiornate ed efficaci e le istituzioni europee applicheranno gli stessi standard elevati che ci aspettiamo dagli Stati membri."
Andrus Ansip, Vicepresidente della Commissione europea responsabile per il Mercato unico digitale, ha dichiarato: "Le nostre proposte creeranno la fiducia nel mercato unico digitale che la gente si aspetta. Il mio intento è garantire la riservatezza delle comunicazioni elettroniche e la tutela della vita privata. Il nostro progetto di regolamento sull'ePrivacy permetterà di trovare il giusto equilibrio tra elevata protezione dei consumatori e possibilità di innovazione per le imprese."
Věra Jourová, Commissaria per la Giustizia, i consumatori e la parità di genere, ha affermato: "La legislazione europea in materia di protezione dei dati adottata l'anno scorso fissa standard elevati a vantaggio sia dei cittadini sia delle imprese dell'UE. Oggi la Commissione presenta anche la sua strategia per agevolare gli scambi internazionali di dati nell'economia digitale globale e promuovere in tutto il mondo standard elevati di protezione dei dati."
Maggiore protezione online e nuove opportunità per le imprese
Il regolamento sulla riservatezza e le comunicazioni elettroniche proposto dalla Commissione garantirà una maggiore tutela della vita privata delle persone e schiuderà nuove opportunità commerciali.

  • Nuovi attori: il 92% degli europei ritiene importante mantenere la riservatezza delle e-mail e dei messaggi online. Tuttavia, la vigente direttiva ePrivacy si applica unicamente agli operatori di telecomunicazioni tradizionali. Le norme in materia di riservatezza si applicheranno d'ora in poi anche ai nuovi operatori che forniscono servizi di comunicazione elettronica - ad esempio WhatsApp, Facebook Messenger, Skype, Gmail, iMessage, Viber.
  • Norme più stringenti: aggiornando la direttiva vigente con un regolamento direttamente applicabile, tutti i cittadini e le imprese nell'UE potranno godere dello stesso livello di protezione delle comunicazioni elettroniche.Anche le imprese trarranno vantaggi da un unico corpus di norme applicabili in tutta l'UE.
  • Contenuto delle comunicazioni e metadati: la riservatezza sarà garantita sia per i contenuti sia per i metadati delle comunicazioni elettroniche (ad esempio, l'ora della chiamata e il luogo). Entrambi hanno una forte componente di riservatezza e, secondo le norme proposte, dovranno essere anonimizzati o eliminati in caso di mancato consenso degli utenti, a meno che non siano necessari, ad esempio per la fatturazione.
  • Nuove opportunità commerciali: una volta ottenuto il consenso al trattamento dei dati relativi alle comunicazioni (contenuti e/o metadati), gli operatori di telecomunicazioni tradizionali avranno maggiori opportunità di utilizzare i dati e fornire servizi aggiuntivi. Ad esempio, potranno produrre mappe di calore per indicare la presenza di persone di cui potranno avvalersi le autorità pubbliche e le imprese di trasporto nello sviluppo di nuovi progetti di infrastrutture.
  • Norme più semplici sui cookie: è prevista la semplificazione della cosiddetta "disposizione sui cookie", che ha dato luogo a un numero eccessivo di richieste di consenso per gli utenti di internet. Le nuove norme permetteranno agli utenti di avere un maggiore controllo sulle impostazioni, consentendo di accettare o rifiutare facilmente il monitoraggio dei cookie e di altri identificatori in caso di rischi per la riservatezza. La proposta chiarisce che il consenso non è necessario per i cookie non intrusivi che migliorano l'esperienza degli utenti (ad esempio, quelli che permettono di ricordare la cronologia del carrello degli acquisti). Il consenso non sarà più necessario per i cookie che contano il numero di utenti che visitano un sito web.
  • Protezione contro lo spamming: la proposta odierna vieta le comunicazioni elettroniche indesiderate, indipendentemente dal mezzo utilizzato, ad esempio email, SMS e, in linea di principio, anche chiamate telefoniche se gli utenti non hanno dato il consenso. Gli Stati membri possono optare per una soluzione che conferisca ai consumatori il diritto di opporsi alla ricezione delle telefonate a scopo commerciale, per esempio mediante la registrazione del loro numero in un elenco di nominativi da non chiamare. Gli autori delle telefonate a scopo commerciale dovranno mostrare il proprio numero telefonico o utilizzare un prefisso speciale che indichi la natura della chiamata.
  • Applicazione più efficace delle norme: la responsabilità di garantire il rispetto delle norme in materia di riservatezza previste dal regolamento spetterà alle autorità nazionali per la protezione dei dati.

Norme in materia di protezione dei dati per le istituzioni e gli organismi dell'UE

Il regolamento proposto sulla protezione dei dati personali da parte delle istituzioni e degli organismi europei mira ad allineare le norme vigenti, che risalgono al 2001, alle nuove norme più stringenti fissate nel regolamento generale del 2016 sulla protezione dei dati. Tutti coloro i cui dati personali sono gestiti dalle istituzioni o dalle agenzie dell'Unione europea potranno beneficiare di standard di protezione più elevati.

Protezione internazionale dei dati

La comunicazione proposta definisce un approccio strategico ai trasferimenti internazionali di dati personali che agevolerà gli scambi commerciali e promuoverà una migliore cooperazione fra le autorità di contrasto, assicurando nel contempo un livello elevato di protezione dei dati. La Commissione si impegnerà attivamente in discussioni con i principali partner commerciali dell'Asia orientale e del Sudest asiatico, iniziando dal Giappone e dalla Corea nel 2017, ma anche con i paesi interessati dell'America latina e i paesi inseriti nella politica europea di vicinato, per giungere a "decisioni di adeguatezza" (che consentono il libero flusso dei dati personali verso paesi con norme in materia di protezione dei dati "sostanzialmente equivalenti" a quelle dell'UE).
La Commissione intende inoltre avvalersi appieno dei meccanismi alternativi previsti dalle nuove norme UE sulla protezione dei dati (regolamento generale sulla protezione dei dati e direttiva sulla protezione dei dati nell'ambito della cooperazione giudiziaria e di polizia) al fine di agevolare lo scambio di dati personali con i paesi terzi con i quali non sia possibile giungere a decisioni di adeguatezza.
La comunicazione ribadisce inoltre che la Commissione intende continuare a promuovere lo sviluppo di standard elevati di protezione dei dati sul piano internazionale, a livello sia bilaterale che multilaterale.

Prossime tappe

Con la presentazione delle proposte odierne la Commissione invita il Parlamento europeo e il Consiglio a lavorare in tempi rapidi e a garantire un processo agevole per l'adozione entro il 25 maggio 2018, data di applicazione del regolamento generale sulla protezione dei dati. L'intento è quello di offrire entro tale data a cittadini e imprese un quadro giuridico pieno e completo in materia di tutela della vita privata e protezione dei dati in Europa.
Insieme alle proposte odierne la Commissione ha presentato una comunicazione per dare slancio all'economia dei dati. Maggiori informazioni sono disponibili qui.

Per ulteriori informazioni

IP/17/16

Contatti per la stampa

  • Johannes BAHRKE (+32 2 295 86 15)

  • Nathalie VANDYSTADT (+32 2 296 70 83)

  • Christian WIGAND (+32 2 296 22 53)

Informazioni al pubblico: contattare Europe Direct telefonicamente allo 00 800 67 89 10 11 o per e-mail

Ultimi articoli su "Europa"

Segui ComplianceNet sui social networks

140709-linkedin2.jpg  facebook facebook

*

ComplianceNet: 

Garante Privacy: Regolamento europeo in materia di protezione dei dati personali - Prima guida informativa (27 giugno 2016)

160627-regolamento-privacy.jpg

Fonte: sito Garante Privacy

Il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.
Il 5 maggio 2016 è entrata ufficialmente in vigore la Direttiva, che dovrà essere recepita dagli Stati membri entro 2 anni.
Il 24 maggio 2016 è entrato ufficialmente in vigore il Regolamento.

I testi pubblicati sulla gazzetta ufficiale ue il 4 maggio 2016

La storia del pacchetto protezione dati

Nel gennaio 2012 la Commissione europea ha presentato ufficialmente il cosiddetto "pacchetto protezione dati" con lo scopo di garantire un quadro coerente ed un sistema complessivamente armonizzato in materia nell'Ue.

Esso si compone di due diversi strumenti:

  • una proposta di Regolamento concernente "la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati", volta a disciplinare i trattamenti di dati personali sia nel settore privato sia nel settore pubblico, e destinata a sostituire la Direttiva 95/46
  • una proposta di Direttiva indirizzata alla regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini, nonché all'esecuzione delle sanzioni penali, che sostituirà (ed integrerà) la decisione quadro 977/2008/CE sulla protezione dei dati personali scambiati dalle autorità di polizia e giustizia (che l'Italia non ha, peraltro, ancora attuato).

L'iter per l'approvazione definitiva dei due nuovi strumenti normativi comporta l'intervento congiunto di Parlamento europeo e Consiglio UE in base alla procedura detta di "codecisione" (ora definita dal Trattato di Lisbona "procedura legislativa").
Il 18 dicembre 2015 è stato raggiunto un accordo sul testo del Regolamento e della Direttiva. Vedi il comunicato del Consiglio europeo del 18 dicembre 2015.
Il 14 aprile 2016 la plenaria del Parlamento Europeo ha adottato in seconda lettura i testi di Regolamento e Direttiva come approvati dal Consiglio. Vedi comunicato stampa del 14 aprile 2016.
Il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini. Vedi il comunicato stampa del 4 maggio 2016.
Il 5 maggio 2016 è entrata ufficialmente in vigore la Direttiva, che dovrà essere recepita dagli Stati membri entro 2 anni. Il 24 maggio 2016 è entrato ufficialmente in vigore il Regolamento. Vedi il comunicato stampa del 24 maggio 2016.

Altri documenti

Comunicato stampa - Nuovo pacchetto protezione dati UE: un lessico familiare

I termini "Titolare del trattamento" e "Responsabile del trattamento",  già presenti nel Codice privacy italiano, compariranno anche nei testi italiani del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i settori di prevenzione, contrasto e repressione dei crimini, entrambi in via di approvazione definitiva a Bruxelles....[CONTINUA]

Regolamento europeo - prima guida informativa

160627-regolamento-privacy-quadro2.jpg

Regolamento europeo - infografica

160627-regolamento-privacy-infografica2.jpg

Scheda informativa su data protection officer

Il Garante per la protezione dei dati personali ha predisposto una versione aggiornata della scheda informativa sulla figura del Responsabile della protezione dei dati (Data Protection Officer)

160627-DPO2.jpg

Ultimi articoli su Privacy

Rimani in contatto

140709-linkedin2.jpg  facebook facebook

ComplianceNet: 

Privacy, Newsletter del Garante n. 416 del 21 giugno 2016: terrorismo, PA, RC Auto, Sanità

160622-garante-privacy-newsletter.jpg

  • Fonte: Garante per la protezione dei dati personali, Doc-Web: 5176031  

Il Garante per la protezione dei dati personali ha pubblicato la Newsletter n. n. 416 del 21 giugno 2016. Quattro gli argomenti trattati:

  1. Anni di piombo: no diritto all'oblio per l'ex terrorista
  2. Pa digitale: il Garante privacy chiede maggiori tutele
  3. Rc auto: app su stile di guida, solo se garantisce la privacy
  4. Sanità, un'attenta analisi delle procedure per garantire la privacy dei pazienti

Anni di piombo: no diritto all'oblio per l'ex terrorista  

Per reati particolarmente gravi prevale l'interesse del pubblico ad accedere alle notizie

La storia non si cancella. E' il principio sancito dal Garante privacy  nel dichiarare infondato il ricorso [doc. web n. 4988654] di un ex terrorista che chiedeva la deindicizzazione di alcuni articoli, studi, atti processuali in cui erano riportati gravi fatti di cronaca che lo avevano visto protagonista tra la fine degli anni 70  e i primi anni 80.
L'interessato che, tra detenzione e misure alternative ha finito di scontare la pena nel 2009, si era rivolto in prima battuta a Google chiedendo la rimozione di alcuni url e dei suggerimenti di ricerca che vengono visualizzati dalla funzione di "completamento automatico" digitando il nominativo nella stringa di ricerca (ad es., inserendo nome e cognome dell'interessato compare la parola terrorista).
Di fronte al mancato accoglimento delle sue richieste da parte di Google, l'interessato  ha presentato un ricorso al Garante sostenendo di non essere un personaggio pubblico ma un libero cittadino al quale la permanenza in rete di contenuti così risalenti nel tempo e fuorvianti rispetto all'attuale percorso di vita, cagiona gravi danni dal punto di vista personale e professionale.
Nel dichiarare infondato il ricorso, l'Autorità ha rilevato che le informazioni di cui si chiede la deindicizzazione fanno riferimento a reati particolarmente gravi, che rientrano tra quelli indicati nelle Linee guida sull'esercizio del diritto all'oblio adottate dal Gruppo di lavoro dei Garanti privacy europei nel 2014, reati per i quali le richieste di deindicizzazione devono essere valutate con minor favore dalle Autorità di protezione dei dati, pur nel rispetto di un esame caso per caso. Secondo il Garante, poi, le informazioni hanno ormai assunto una valenza storica, avendo segnato la memoria collettiva. Esse riguardano una delle pagine più buie della storia italiana, della quale il ricorrente non è stato un comprimario, ma un vero e  proprio protagonista. Inoltre, nonostante il lungo lasso di tempo trascorso dagli eventi l'attenzione del pubblico è tuttora molto alta su quel periodo e sui fatti trascorsi, come dimostra l'attualità dei riferimenti raggiungibili mediante gli stessi url.
Il Garante ritenendo quindi prevalente l'interesse del pubblico ad accedere alle notizie in questione, ha dichiarato infondata la richiesta di rimozione degli url indicati dal ricorrente ed indicizzati da Google.
L'Autorità ha inoltre dichiarato non luogo a provvedere sulla rimozione dei suggerimenti di ricerca nel frattempo eliminati da Google e su un url di un articolo non più indicizzabile da quando l'archivio del quotidiano che lo aveva pubblicato è divenuto una piattaforma a pagamento.

Pa digitale: il Garante privacy chiede maggiori tutele

Parere su nuovo Cad. Auspicata anonimizzazione delle sentenze on line

Sì condizionato del Garante per la protezione dei dati personali sullo schema di decreto legislativo della Presidenza del Consiglio dei ministri che modifica e integra il Codice dell'amministrazione digitale (Cad) [doc. web n. 5177397]. L'Autorità ha chiesto maggiori garanzie di riservatezza  per chiunque si avvalga dell'identità digitale.
Lo schema intende attuare la delega della legge 124/2015 volta a promuovere e rendere effettivi i diritti di cittadinanza digitale di cittadini e imprese e mira a coordinare la disciplina nazionale in materia di documenti informatici e firme elettroniche con quella europea.  Poiché sono previste significative innovazioni al Cad e visto il notevole impatto del provvedimento sui diritti delle persone, l'Autorità ha formulato le proprie osservazioni al fine di adeguare maggiormente il contenuto dello schema di decreto alla disciplina in materia di protezione dati.
Il Garante ha segnalato quindi la necessità di adeguare i termini utilizzati  nello schema alle definizioni adottate nel Regolamento Ue n. 910/2014 (eIDAS) in materia di identificazione elettronica e servizi digitali per le transazioni elettroniche nel mercato interno, e di garantire coerenza tra decreti relativi a Cad, Spid e a trasparenza e anticorruzione. In linea con quanto previsto dalla normativa, l'Autorità ha chiesto, poi, di estendere  il diritto di avere e poter utilizzare un'identità digitale a chiunque risieda legalmente in Italia, non limitandola quindi, senza motivo, a soli cittadini e imprese e di garantire che l'elezione o l'assegnazione del domicilio digitale, considerato mezzo esclusivo di comunicazione con le pubbliche amministrazioni, resti nella facoltà dell'interessato e non divenga un obbligo.
Il Garante ha chiesto, inoltre, di disporre adeguate garanzie per i dati personali, in particolare eliminando la possibilità di inserire nel certificato di firma elettronica qualificata dati aggiuntivi rispetto a quanto previsto dal Regolamento eIDAS (come ad esempio il codice fiscale). Questa previsione infatti, non in linea con i principi di pertinenza e non eccedenza, rischia di contribuire a rendere di fatto il codice fiscale un identificatore unico a livello nazionale,  ratificandone l'utilizzo generalizzato al di fuori del settore fiscale.
Per quanto riguarda l'anonimizzazione delle sentenze - secondo il Consiglio di Stato un tema fuori delega e un ingiustificato appesantimento dell'attività amministrativa - il Garante, nel prendere atto dell'impegno della Presidenza del Consiglio di verificare se tale disposizione rientri nell'ambito della delega, ritiene  tuttavia, che l'appesantimento derivi più dal dover procedere con   una valutazione caso per caso, che non dalla generalizzata anonimizzazione delle sentenze. Prassi sostenuta dall'Autorità  che potrebbe considerarsi  applicazione del principio della privacy by default (protezione per impostazione definita) introdotto dal nuovo Regolamento europeo in materia di protezione dei dati personali, realizzabile seguendo opportune tecniche di redazione.
In tema di sicurezza, infine, l'Autorità ritiene opportuno non abrogare l'articolo relativo al disaster recovery e alla continuità operativa, mantenendo in capo ai soggetti pubblici l'obbligo di provvedere alla conservazione sicura dei dati anche nella fase di attuazione  delle nuove regole.

Rc auto: app su stile di guida, solo se garantisce la privacy

Il software proposto da una assicurazione per ottenere sconti sulle polizze

Una compagnia assicurativa potrà attivare una app per monitorare lo stile di guida degli utenti che decideranno di installarla sul proprio smartphone e proporre a ai più prudenti e attenti al Codice della strada dei buoni sconto per l'acquisto di polizze auto. La società dovrà però informare correttamente i guidatori, limitare i tempi di conservazione dei dati e garantire la privacy degli automobilisti.
Il progetto, sottoposto alla verifica preliminare del  Garante per la privacy [doc. web n. 5175960], prevede lo sviluppo di un'applicazione gratuita da installare sul cellulare, che attribuisce un diverso punteggio basato sullo stile di guida rilevato, e consente agli utenti la visualizzazione dei luoghi in cui si sono verificati eventi potenzialmente rischiosi (quali inversioni ad U, brusche frenate e accelerate). Obiettivo dichiarato della società quello di promuovere modalità di guida più sicure,  contribuire a un minor consumo di carburante e offrire al contempo ai guidatori che hanno raggiunto un certo punteggio eventuali promozioni per l'acquisto di una polizza auto.
La società potrà attivare l'applicativo solo dopo averlo modificato per garantire maggiormente la riservatezza degli automobilisti come richiesto dal Garante. Il partner tecnologico coinvolto nella fornitura del servizio, ad esempio, non potrà conservare i dati sulla geo-localizzazione dei guidatori per più di 90 giorni e potrà trasmettere alla compagnia assicuratrice informazioni statistiche sulle strade percorse esclusivamente dopo aver anonimizzato i dati, eliminando così ogni riferimento agli automobilisti. I dati necessari a contattare gli utenti che manifesteranno uno specifico consenso alla profilazione del loro stile di guida per finalità di marketing potranno invece essere conservati dalla compagnia assicuratrice al massimo per un anno.
Il Garante ha infine prescritto alla società assicuratrice di modificare l'informativa fornita agli utenti che decideranno di installare l'applicativo, chiarendo con precisione quali dati personali saranno trattati e per quale finalità. Tali indicazioni, ad esempio, non dovranno limitarsi a riportare generici riferimenti al monitoraggio dello "stile di guida",  ma dovranno specificare i parametri su cui sarà basata la profilazione del guidatore, come il tipo di strada percorsa, le accelerazioni e le frenate brusche, l'eventuale superamento della velocità consentita.

Sanità, un'attenta analisi delle procedure per garantire la privacy dei pazienti

Ok allo schema tipo della Regione Lazio per aziende del servizio sanitario regionale

L'analisi delle finalità, dei processi e degli strumenti è il primo passo per individuare gli adempimenti necessari in materia di protezione dei dati in ambito sanitario e indicare soluzioni operative rispettose dei diritti alla cura e alla riservatezza dei pazienti. Tale approccio, messo in atto dalla Regione Lazio, si muove nella direzione sempre auspicata dal Garante privacy.  E' questo, in sintesi, il giudizio espresso dall'Autorità su uno "Schema tipo di regolamento aziendale sul trattamento dei dati nei processi di diagnosi e cura", elaborato dalla Regione Lazio a seguito dell'adozione delle Linee guida in tema di Dossier sanitario, varate nel 2015 dal Garante [doc. web. n. 5177496].
Nel "promuovere" lo schema l'Autorità evidenzia inoltre come solo a seguito di una attenta analisi dei processi possano essere attribuiti i diversi profili e livelli di accesso ai dossier sanitari aziendali, nonché  individuati i tempi strettamente necessari per effettuare le attività di consultazione.
Lo schema nasce da uno studio svolto dal Policlinico Umberto I di Roma nell'adempiere alle prescrizioni dettate dall'Autorità per rendere conforme al Codice privacy i trattamenti di dati effettuati attraverso il dossier sanitario aziendale. Nel mettere in atto tali misure il Policlinico ha censito tutti i trattamenti di dati personali svolti al suo interno, compresi quelli per fini di ricerca e amministrativi; le diverse figure (medici, personale sanitario, dottorandi) responsabili a vario titolo dei trattamenti, suggerendo modalità di designazione, contenuto delle nomine, e protocolli di vigilanza sul loro operato; gli strumenti informatici utilizzati e i relativi  obblighi di sicurezza. Il documento "fotografa" anche i numerosi processi di diagnosi e cura presenti in una struttura sanitaria (ad es., accesso al pronto soccorso, ricovero ordinario, ricovero in day surgery), anche in riferimento alle forme di assistenza previste per particolari patologie (ad es., le cronicità, le prestazioni peculiari come la consegna diretta dei farmaci).
Lo schema sarà sottoposto all'approvazione della Giunta regionale affinché possa essere utilizzato dalle aziende sanitarie del servizio sanitario regionale come riferimento per la stesura del proprio regolamento aziendale.

Ultimi articoli su Privacy

Rimani in contatto

140709-linkedin2.jpg  facebook facebook

ComplianceNet: 

Le novità introdotte dal Regolamento Europeo sulla Privacy (IusLetter, 9 giugno 2016)

160609-regolamento-privacy.jpg

Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale UE il Regolamento «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali» con cui l’Unione Europea si dota di una nuova legge che fa tesoro dell’esperienza maturata negli ultimi venti anni, da quando cioè fu adottata la prima direttiva in materia di privacy.
Lo studio legale “La Scala” ha pubblicato una breve guida (qui in pdf, 107 K, 13 pp. ) sul nuovo Regolamento Privacy a firma di Francesco Rampone che guida il team IP/ IT - Intellectual Property e Information Technology.

francesco-rampone.jpg

(Francesco Rampone)

Sommario

1. Introduzione
2. Entrata in vigore e applicazione
3. Ambito territoriale di applicazione (art. 3)
4. Informativa agli interessati (artt. 13-15)
5. Diritto all’oblio (art. 17)
6. Portabilità dei dati (art. 20)
7. Responsabilità del titolare (art. 24)
8. Progettazione del trattamento (art. 25)
9. Impostazioni predefinite (art. 25)
10. Registro delle attività di trattamento (art. 30)
11. Notifica di violazione (art. 33)
12. Valutazione di impatto (art. 35)
13. Responsabile della protezione dei dati (art. 37)
14. Sanzioni amministrative (art. 83)
15. Conclusioni

Il regolamento Privacy UE

  • Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE

Allegato

  • Francesco Rampone, “Le novità introdotte dal regolamento europeo sulla privacy”, giugno 2016, La Scala (pdf, 107 K, 13 pp. )

Ultimi articoli su Privacy

Rimani in contatto

140709-linkedin2.jpg  facebook facebook

ComplianceNet: 

Privacy, Newsletter del Garante n. 415 del 27 maggio 2016: spam elettorale, diritto cronaca, anagrafe studenti

160530-garante-privacy.jpg

Il Garante per la protezione dei dati personali ha pubblicato la Newsletter n. 415 del 27 maggio 2016. Tre gli argomenti trattati:

  1. No allo spam elettorale sulle mail dei dipendenti comunali
  2. Cronaca: garantire sempre riservatezza bambino malato
  3. Anagrafe nazionale studenti, ok a consultazione da parte dell'Università

No allo spam elettorale sulle mail dei dipendenti comunali

Un candidato non può usare a fini di propaganda elettorale  i dati personali in suo possesso per ragioni istituzionali.
È quanto ha ribadito il Garante privacy in un provvedimento con cui ha vietato ad un ex assessore di utilizzare gli indirizzi mail dei dipendenti comunali  nella sua disponibilità ai tempi del suo mandato.
La vicenda risale alle amministrative dello scorso anno, quando una dipendente comunale, aprendo la mail di lavoro,  scopre che l'ex assessore al personale si candida alle elezioni regionali e chiede il suo voto.
La scena si ripete più volte -  probabilmente la stessa mail è stata spedita a tutto il personale comunale - e alcuni dipendenti, che si ritengono lesi nei loro diritti, si rivolgono al Garante per la protezione dei dati personali.
I dipendenti segnalano all'Autorità che gli indirizzi mail sono stati acquisiti da un indirizzario di posta elettronica che non è pubblico, essendo ad esclusivo uso interno dell'amministrazione e nella disponibilità dell'ex assessore al personale  in virtù dell'incarico precedentemente ricoperto.
Per questo motivo ritengono che i loro dati personali siano stati trattati in modo non corretto e  in violazione delle regole dettate dal Garante privacy in materia di propaganda elettorale.
Tesi condivisa dall'Autorità che, nell'emettere il provvedimento di divieto, ha ritenuto l'operato dell'ex assessore illecito sotto diversi profili. In primo luogo, perché il trattamento dei dati è avvenuto in violazione del principio di finalità: gli indirizzi mail comunali, infatti, il cui scopo è quello di consentire il contatto per l'assolvimento delle funzioni istituzionali, non possono essere utilizzati per il perseguimento di altre finalità (non compatibili con quelle che ne hanno giustificato la raccolta originaria), come appunto la propaganda elettorale.
Così come non possono essere utilizzati liberamente da chi ricopre incarichi pubblici e detiene questi dati solo per lo svolgimento dei propri compiti istituzionali.
In secondo luogo perché, come affermato dal Garante in più occasioni, i partiti, le liste o i singoli candidati non possono utilizzare indirizzi di posta elettronica senza il consenso specifico e informato dei destinatari.
Consenso che, nel caso in esame, non risulta acquisito, come non risulta che i destinatari siano stati informati sull'uso che veniva fatto dei loro dati.
Con un autonomo procedimento l'Autorità provvederà a verificare i presupposti per l'applicazione della sanzione amministrativa prevista per l'omessa informativa e la mancata acquisizione del consenso.

Cronaca: garantire sempre riservatezza bambino malato

Il minore va tutelato da forme di comunicazione lesive dell'armonico sviluppo della sua personalità

No a troppe informazioni che rendono identificabile un bambino malato. Il diritto del minore alla riservatezza prevale sul diritto di cronaca e neanche il consenso dei genitori autorizza il giornalista a riportare informazioni che possano nuocere al suo sviluppo. Lo ha ribadito [doc. web n 5029484] il Garante privacy nel definire un'istruttoria avviata d'ufficio a seguito della pubblicazione su alcune testate di diversi dati identificativi di una bambina (fotografie, il nome, il luogo di residenza, l'età, il nome e il cognome della madre, il nome della scuola frequentata), associati a precise indicazioni della patologia di cui soffre. Il Garante ha tuttavia ritenuto di non dover adottare alcun provvedimento inibitorio, poiché le testate, appena avuta notizia dell'avvio dell'istruttoria, hanno eliminato gli articoli dalla rete o oscurato i dati che rendevano identificabile la bambina.
La vicenda descritta negli articoli affronta, a parere dell'Autorità, un tema di indubbio interesse pubblico, riguardando il dibattito in corso sul rapporto rischi benefici delle vaccinazioni. Nel riportare la notizia, i giornalisti devono però tener conto delle regole che disciplinano il rapporto tra attività giornalistica e protezione dei dati personali e delle garanzie poste a tutela dei più piccoli. In particolare, quelle del codice deontologico e della Carta di Treviso che considerano il diritto del minore alla riservatezza primario rispetto al diritto di cronaca e stabiliscono che in caso di bambini malati, il giornalista deve porre "particolare attenzione e sensibilità nella diffusione delle immagini e delle vicende” per evitare forme di sensazionalismo lesive della loro personalità.
E, anche se in questo caso la diffusione di dati personali è avvenuta con il consenso dei genitori, questo elemento, sottolinea l'Autorità, non è di per sé sufficiente a legittimare l'identificabilità del minore. Il consenso parentale non esime infatti il giornalista dal valutare il potenziale pregiudizio che può derivare dalla pubblicazione di informazioni così dettagliate. Il giornalista è chiamato ad adottare le cautele di volta in volta più opportune per tutelare il minore, senza per questo abdicare al ruolo fondamentale di denuncia e informazione della collettività. Tale principio, più volte affermato dall'Autorità, trova conferma anche nella Carta di Treviso, secondo cui, "a prescindere dall'eventuale consenso dei genitori, il minore non va coinvolto in forme di comunicazioni lesive dell'armonico sviluppo della sua personalità".

Anagrafe nazionale studenti, ok a consultazione da parte dell'Università

Sarà possibile per le Università utilizzare l'Anagrafe nazionale degli studenti (Ans)  per verificare la veridicità dei titoli autocertificati dagli studenti. E' quanto ha indicato il Garante per la protezione dei dati personali in un parere [doc. web n. 5029548] reso al Miur, nel quale ha però  chiesto  specifiche garanzie.
L'Ans, istituita per la realizzazione del diritto-dovere all'istruzione e alla formazione e per la prevenzione e il contrasto alla dispersione scolastica, opera presso il Miur, registrando i dati sui percorsi scolastici, formativi e in apprendistato dei singoli studenti e i dati sulle loro valutazioni, a partire dal primo anno della scuola primaria.
Col parere reso il Garante ha respinto la richiesta del Ministero di conservare a tempo illimitato, per ogni studente censito nell'Ans che giunge al termine del percorso scolastico, le informazioni relative, nello specifico, al codice fiscale, al codice della scuola che rilascia il titolo di studio, al tipo di titolo, al voto conseguito, all'anno solare di conseguimento. Il Codice privacy prevede infatti che la conservazione dei dati personali non possa essere protratta oltre il tempo strettamente necessario al perseguimento dello scopo prefissato.
L'allungamento del periodo di conservazione dei dati, finora previsto fino al termine dell'anno solare successivo alla conclusione di ogni ciclo scolastico, dovrà essere motivato dal Miur che dovrà fissare uno specifico lasso di tempo oltre il quale i dati dovranno essere cancellati o resi anonimi. Il Garante ha raccomandato al Ministero che per l'accesso all'anagrafe da parte del personale incaricato dalle università vengano previste rigorose misure in ordine al tracciamento e alla conservazione dei log relativi agli accessi, nel rispetto delle misure tecniche ed organizzative adottate a protezione dei dati degli studenti contenuti nell'anagrafe.
Con un altro parere [doc. web n 5029436], il Garante ha dato il via libera all'integrazione dell'Ans con le informazioni  degli alunni  delle scuole d'infanzia relative a  sezione della classe e  numero giorni/orario settimanale di frequenza. Tali dati risultano infatti pertinenti e non eccedenti rispetto alle finalità perseguite.

Ultimi articoli su Privacy

Privacy, Newsletter del Garante n. 414 del 27 aprile 2016: trasparenza, blogger, telecamere

160427-privacy-newsletter.jpg

  • Fonte: Garante per la protezione dei dati personali, Doc-Web: 4933854

Il Garante per la protezione dei dati personali ha pubblicato la Newsletter n. 414 del 27 aprile 2016 Tre gli argomenti trattati:

  1. Il Garante a Facebook: stop ai fake e trasparenza sui dati
  2. Privacy, per il blogger valgono le stesse regole e garanzie del giornalista
  3. No al Telecamere "intelligenti" e videosorveglianza "lunga" con adeguate garanzie

Il Garante a Facebook: stop ai fake e trasparenza sui dati

Prima pronuncia dell'Autorità italiana nei confronti di Menlo Park, applicabile la normativa nazionale

Facebook dovrà comunicare ad un proprio utente tutti i dati che lo riguardano – informazioni personali, fotografie, post - anche quelli inseriti e condivisi da un falso account, il cosiddetto "fake". Non solo: la società di Menlo Park dovrà bloccare il fake ai fini di un'eventuale intervento da parte della magistratura. Lo ha stabilito il Garante per la protezione dei dati personali nella sua prima pronuncia nei confronti del colosso web [doc. web n. 4833448], nella quale afferma la propria competenza a intervenire a tutela degli utenti italiani. Il social network dovrà, inoltre, fornire all'iscritto, in modo chiaro e comprensibile, informazioni anche sulle finalità, le modalità e la logica del trattamento dei dati, i soggetti cui sono stati comunicati o che possano venirne a conoscenza.
Il Garante ha accolto il ricorso di un iscritto a Facebook che si era rivolto all'Autorità dopo aver interpellato il social network ed aver ricevuto una risposta ritenuta insoddisfacente. L'iscritto lamentava di essere stato vittima di minacce, tentativi di estorsione, sostituzione di persona  da parte di un altro utente di Facebook, il quale, dopo aver chiesto e ottenuto la sua "amicizia", avrebbe inizialmente intrattenuto una corrispondenza confidenziale, poi sfociata nei tentativi di reato. Il ricorrente sosteneva, inoltre, che il "nuovo amico" - visto il suo rifiuto di sottostare alle richieste di denaro - avrebbe creato un falso account, utilizzando i suoi dati personali e la fotografia postata sul suo profilo, dal quale avrebbe inviato a tutti i contatti Facebook dell'interessato fotomontaggi di fotografie e video gravemente lesivi dell'onore e del decoro oltre che della sua immagine pubblica e privata. L'interessato chiedeva quindi la cancellazione e il blocco del falso account, nonché la  comunicazione dei suoi dati in forma chiara, anche di quelli presenti nel fake.
Prima di intervenire nel merito, il Garante, anche alla luce della direttiva 95/46/EC e delle sentenze della Corte di Giustizia europea "Google Spain" del 13 maggio 2014 e "Weltimmo" del 1 ottobre 2015, ha innanzitutto affermato la competenza dell'Autorità italiana sul caso in esame, ritenendo applicabile il diritto nazionale. La multinazionale, infatti, è presente sul territorio italiano con un'organizzazione stabile, Facebook Italy srl, la cui attività è inestricabilmente connessa con quella svolta da Facebook Ireland ltd  che ha effettuato il trattamento di dati contestato. Il Garante ha accolto le tesi del ricorrente ritenendolo, in base alla normativa italiana, legittimato ad accedere a tutti i dati che lo riguardano compresi quelli presenti e condivisi nel falso account. Ha quindi ordinato a Facebook di comunicare all'interessato tutte le informazioni richieste entro un termine preciso.
L'Autorità non ha invece ritenuto opportuno ordinare alla società la  cancellazione  delle informazioni, poiché esse potrebbero essere valutabili in sede di accertamento di possibili reati. Ha di conseguenza  imposto a Menlo Park di non effettuare alcun ulteriore trattamento dei dati del ricorrente e di conservare quelli finora trattati ai fini della eventuale acquisizione da parte dell'autorità giudiziaria.

Privacy, per il blogger valgono le stesse regole e garanzie del giornalista

Il blogger, nel momento in cui fa informazione,  è soggetto alle stesse regole e gli sono riconosciute le stesse garanzie del  giornalista. Non commette un illecito nel  riportare nel proprio blog notizie e commenti, anche senza  consenso,  purché rispetti  i diritti, le libertà fondamentali e la dignità della persona di cui scrive.
Il principio è stato affermato dal  Garante privacy  [doc. web n. 4747581] nel dichiarare infondato il ricorso di una donna, noto personaggio pubblico, che aveva chiesto la rimozione da un blog di un articolo in cui erano riportate vicende sentimentali e giudiziarie che la riguardavano. L'interessata riteneva che i suoi dati personali fossero stati illecitamente diffusi on line e contestava  l'applicabilità al suo caso delle disposizioni contenute nel Codice privacy a tutela della manifestazione del pensiero.
Nel definire il ricorso, il Garante ha stabilito invece che la disciplina in materia di protezione dei dati personali è applicabile anche al blog che svolge attività di informazione. Il blog rientra quindi nell'ambito della fattispecie regolata dall'art. 136 del Codice privacy che estende le garanzie riguardanti l'attività giornalistica ad ogni altra attività di manifestazione del pensiero, anche se non effettuata da giornalisti professionisti o pubblicisti. L'Autorità ha ritenuto pertanto che il trattamento di dati personali relativi alla ricorrente, effettuato mediante la pubblicazione on line di informazioni - in parte diffuse dalla stessa sul proprio sito Internet o riprese da altri articoli - e la successiva conservazione nel blog, non possono ritenersi illeciti, anche alla luce dei principi del Codice deontologico dei giornalisti.
La decisione del Garante non pregiudica la possibilità della ricorrente, di rivolgersi, se lo ritiene, al giudice ordinario per l'accertamento di eventuali profili ritenuti diffamatori o altrimenti lesivi.

Telecamere "intelligenti" e videosorveglianza "lunga" con adeguate garanzie

Autorizzato per particolari motivi di sicurezza un sistema di riconoscimento basato su modelli comportamentali

Via libera del Garante privacy [doc. web n. 4933227] ad un'azienda operante nel settore dei semiconduttori che intende utilizzare un nuovo impianto di videosorveglianza dotato di software "intelligent video". L'impianto è munito di sistema di riconoscimento sulla base di modelli comportamentali in grado di individuare condizioni anomale (ad esempio la rilevazione di un uomo a terra) e di telecamere termiche, che, senza effettuare alcuna identificazione, avrebbero la funzione di attivare l'allarme a seguito dell'individuazione di forme in movimento in una "no access zone". La società, che ha presentato domanda di verifica preliminare e che realizza, tra l'altro, prodotti che appartengono al cosiddetto comparto "secure", (dispositivi destinati a Sim,  Pos, credit card, etc.) ospita all'interno del suo perimetro anche altre due aziende sue fornitrici,  per le quali svolge un servizio di vigilanza. Tutto il sito produttivo è classificato come "a rischio di incidente rilevante".Considerati l'ubicazione isolata del sito, il delicato settore produttivo e le specifiche esigenze del rispetto di  elevati standard di sicurezza nazionali ed internazionali,  l'Autorità ha ritenuto che la richiesta della società possa essere accolta perché conforme ai principi del Codice della privacy.
Con le stesse motivazioni, il Garante ha autorizzato la società anche alla conservazione delle immagini rilevate per 45 giorni, con lo scopo di monitorare lo stabilimento produttivo e individuare i responsabili di eventuali fatti illeciti, anche a seguito di intrusioni e furti già denunciati. Ad eccezione della visione da parte dell'Autorità giudiziaria, l'accesso alle immagini potrà avvenire solo nel rispetto di quanto stabilito dagli accordi sindacali aziendali e le stesse non potranno essere diffuse o comunicate.
Il Garante ha accolto anche un'altra richiesta di prolungamento dei tempi di conservazione delle immagini, presentata da una società abilitata alla trattazione di "materiale classificato" che opera principalmente nel settore marino, autorizzando la conservazione delle immagini fino a 30 giorni [doc. web n. 4933452]. La richiesta è correlata all'esigenza di tutelare la sicurezza dei prodotti giacenti presso la ditta, dei beni aziendali in genere, nonché delle persone che operano all'interno dei locali e nelle aree aziendali, in relazione alla particolare tipologia e delicatezza delle lavorazioni effettuate e delle connesse esigenze di sicurezza e segretezza.

ComplianceNet: 

Privacy e recupero crediti: il nuovo vademecum del Garante (18 aprile 2016)

160418-privacy-recupero-crediti.jpg

  • Fonte: sito web Garante per la protezione dei dati personali, Doc-Web: 4893296

Le regole per il corretto trattamento dei dati personali

Quali dati personali si possono trattare nell'ambito dell'attività di recupero crediti? Quali sono le prassi ritenute illecite? Come vanno conservati i dati? Esiste un diritto alla riservatezza del debitore?
A queste e ad altre domande risponde il vademecum predisposto dal Garante per la protezione dei dati personali (pdf,1.1 M, 8 pp.).
La guida sintetica illustra in modo semplice e immediato a quali principi si devono ispirare coloro che legittimamente svolgono attività di recupero del credito e le garanzie riconosciute al debitore.
Il vademecum riporta anche i riferimenti ai principali provvedimenti dell'Autorità sull'argomento.

Il Vademecum

"Privacy e recupero crediti" è suddiviso in otto sezioni:

  1. principi generali
  2. il recupero crediti e i dati personali
  3. le prassi illecite;
  4. quali dati posso trattare?
  5. l'informativa
  6. la conservazione dei dati
  7. l'esercizio dei diritti
  8. documenti di riferimento.

Il vademecum può essere scaricato in formato digitale dal sito web dell'Autorità

Allegato

  • Garante per la protezione dei dati personali, "Privacy e recupero crediti. Le regole per il corretto trattamento dei dati personali", 18 aprile 2016 (pdf,1.1 M, 8 pp.)
ComplianceNet: 

Privacy, Newsletter del Garante n. 412 del 29 febbraio 2016: PA, disabili, opere d’arte, farmaci

160302-garante.jpg

Il Garante per la protezione dei dati personali ha pubblicato la Newsletter n. 412 del 29 febbraio 2016 Tre gli argomenti trattati:

  1. Pa e concorsi per disabili: no alle graduatorie on line
  2. Ok del Garante alla banca dati delle opere d'arte rubate
  3. Nuovi farmaci anticoagulanti: via libera ad uno studio sulle complicanze

Pa e concorsi per disabili: no alle graduatorie on line

Nuovo intervento del Garante privacy. Vietata la pubblicazione di dati sanitari di centinania di persone

Stop del Garante privacy  alla pubblicazione delle graduatorie di concorsi riservati ai disabili sui siti istituzionali di alcune Province e una Regione. I nominativi di centinaia  di persone disabili, spesso associati a data e luogo di nascita,  risultavano immediatamente visibili in rete tramite l'inserimento delle rispettive generalità nei più diffusi  motori di ricerca. Nei documenti erano riportati  in chiaro anche informazioni ritenute eccedenti o non pertinenti (come il reddito, la percentuale di invalidità civile, il punteggio derivante dall'anzianità, il numero di familiari a carico).
Il Garante ha dichiarato illeciti i trattamenti di dati effettuati dagli enti territoriali perché non conformi al Codice privacy che non consente la diffusione di informazioni sulla salute, tanto più on line. Oltre al provvedimento di divieto, il Garante ha prescritto alle Province interessate e alla Regione di mettersi in regola per il futuro con la pubblicazione di atti e documenti on line. Gli enti dovranno attenersi alle disposizioni della normativa e delle Linee guida in materia di trasparenza emanate dall'Autorità,  adottando ogni cautela per evitare, in particolare, la diffusione di dati sanitari.
L'Autorità, inoltre, si è riservata di valutare, con separato provvedimento, gli estremi per contestare alle P.a. la violazione amministrativa prevista per l'infrazione del Codice. I casi attuali si aggiungono a numerosi episodi analoghi per i quali l'Autorità è dovuta intervenire a tutela della riservatezza vietando la pubblicazione dei dati sensibili.
A settembre dello scorso anno, il presidente del Garante per la protezione dei dati personali, Antonello Soro, ha scritto al presidente della Conferenza delle Regioni e delle Province autonome, Sergio Chiamparino, per richiamare l'attenzione della Conferenza sulla preoccupante prassi di pubblicare sui siti web degli enti pubblici atti e documenti contenenti dati personali estremamente delicati come quelli riferiti alla salute, in particolare alla disabilità.
Il Garante ha chiesto, inoltre, di valutare la possibilità di assumere specifiche iniziative affinché i trattamenti di dati effettuati da soggetti pubblici siano sempre rispettosi delle norme previste in materia di tutela della riservatezza.

Ok del Garante alla banca dati delle opere d'arte rubate

Sì del Garante privacy allo schema di decreto del Ministero dei beni e delle attività culturali e del turismo (MIBACT) che disciplina la realizzazione della banca dati dei beni culturali illecitamente sottratti [doc. web n. 4727696].  L'Autorità ha chiesto però maggiori tutele sul trattamento dei dati personali.  Il Ministero dovrà adottare, in particolare, adeguate misure di sicurezza e di conservazione dei dati e una specifica disciplina in caso di trasferimento delle informazioni fuori dal territorio dell'Unione.
La banca dati, istituita presso il Ministero, contiene tra l'altro il nominativo del denunciante, le informazioni relative al soggetto presso cui si trovano le opere da acquisire e le altre informazioni rilevanti ai fini della ricerca e del recupero del bene sottratto, inclusi dati di carattere giudiziario.
Lo schema disciplina l'ambito di applicazione, le finalità giuridiche (prevenzione e contrasto dei reati in danno del patrimonio culturale), il titolare e il responsabile del trattamento (MIBACT e Carabinieri), i soggetti che alimentano la banca dati, i dati da comunicare, le principali operazioni, i soggetti abilitati alla consultazione, prevedendo la tracciatura delle operazioni svolte.
Nel corso dei contatti avuti dall'Ufficio del Garante col Ministero e con le Amministrazioni interessate, l'Authority ha formulato alcuni rilievi e ha fornito indicazioni volte a conformare il testo alla disciplina in materia di protezione dei dati personali.
Il Garante ha chiarito, innanzitutto, di aver reso il parere sul presupposto che il decreto abbia natura regolamentare. Circostanza importante, in quanto il trattamento (tipo di informazioni raccolte: denunce o notizie di reato; finalità di contrasto e prevenzione dei reati) disciplinato dal decreto è funzionale ad attività di polizia e quindi, come stabilito dal Codice privacy, esige una disciplina di rango regolamentare.
Le indicazioni rese dall'Autorità hanno riguardato vari aspetti tra cui, l'identificazione delle figure di titolare, responsabile e incaricato del trattamento, la verifica della pertinenza e non eccedenza dei dati personali con cui si alimenta la banca dati, l'adozione di adeguate misure di sicurezza, la definizione dei tempi di conservazione dei dati personali e il loro trasferimento fuori dal territorio europeo, per il quale si ritiene opportuno inserire una specifica disciplina.

Nuovi farmaci anticoagulanti: via libera ad uno studio sulle complicanze

Il Garante privacy ha autorizzato l'Ospedale "Guglielmo da Saliceto" di Piacenza ed altri centri di cura ad effettuare uno studio osservazionale multicentrico sulle complicanze emorragiche in pazienti in terapia con nuovi farmaci anticoagulanti ricoverati in pronto soccorso [doc. web n. 4727402]. L'ospedale potrà trattare i dati dei pazienti, anche senza consenso, qualora questi risultino temporaneamente incapaci di prestarlo. Alcuni di questi malati, infatti, potrebbero trovarsi in stato d'incoscienza per la gravità delle complicanze emorragiche ed è importante ai fini dello studio verificare anche i loro dati. In questi casi, il centro di cura cercherà comunque di ottenere il consenso dai prossimi congiunti o familiari o rappresentanti dell'interessato o di un medico non associato alla ricerca.
Qualora le condizioni di salute dei pazienti migliorino, nel corso dello studio, sarà raccolto il loro consenso alla continuazione della ricerca, previa idonea informativa.
Il trattamento dei dati personali sulla salute dovrà riguardare solo i dati e le operazioni strettamente indispensabili allo studio (sesso, data di nascita, peso, altezza e informazioni sulla salute registrate nelle cartelle cliniche). La ricerca dovrà comunque avvenire nel rispetto delle modalità previste nella richiesta di autorizzazione, anche per ciò che concerne la designazione dei soggetti che collaborano all'esecuzione dello studio, con l'adozione di idonee misure di sicurezza e la definizione del periodo di conservazione dei dati.
I medici si limiteranno a raccogliere e ad analizzare i dati clinici dei pazienti potendo, eventualmente, ricontattarli fino a novanta giorni dopo le dimissioni, per raccogliere altri dati sulle loro condizioni cliniche e su altre possibili complicanze insorte nel frattempo.
I dati sanitari dello studio non saranno comunicati o trasferiti all'estero se non in forma rigorosamente aggregata e anonima e saranno resi pubblici solo in tale forma.

Ultime newsletter del Garante

Ultimi articoli su Privacy

ComplianceNet: 

Pagine