Privacy, Newsletter del Garante n. 383 del 16 gennaio 2014: curricula, cartelle cliniche, antiriciclaggio

140118-logo-garante-privacy

Fonte: Garante per la protezione dei dati personali, Doc-Web: 2865605

Il Garante per la protezione dei dati personali ha pubblicato la Newsletter n. 383 del 16 gennaio 2014

Tre gli argomenti trattati:

  • No al far west nel mercato del lavoro su Internet
  • Sì all'accesso della madre naturale ai dati clinici della figlia non riconosciuta
  • Antiriciclaggio: adeguare i controlli ai "profili di rischio"

No al far west nel mercato del lavoro su Internet

Intervento a tutela di migliaia di aspiranti lavoratori iscritti ad un sito web
Maggiore trasparenza e correttezza nel mercato del lavoro via Internet. E' quanto chiede il Garante privacy che ha vietato [doc. web n. 2865637] ad una società l'uso dei dati personali di oltre 400 mila aspiranti lavoratori raccolti e gestiti in modo illecito.
La società che svolgeva attività di intermediazione attraverso il proprio sito web senza la prescritta autorizzazione ministeriale, non aveva neppure conferito, come necessario, i dati dei candidati a Cliclavoro, il portale del Ministero del lavoro che costituisce la Borsa continua nazionale del lavoro.  L'azienda raggiunta dal divieto del Garante non si limitava a mettere a disposizione una mera "bacheca digitale" in cui rendere pubbliche le offerte di lavoro e le candidature, ma offriva veri e propri servizi di intermediazione (consultazione di un database con centinaia di migliaia di curricula, comunicazione di informazioni sui candidati, invio di offerte di lavoro "su misura", ecc.). Un'attività effettuata, peraltro, senza fornire agli utenti che si registravano al sito una informativa trasparente con l'indicazione di tutte le operazioni realmente svolte.
La grave situazione è emersa nel corso di verifiche ispettive disposte dall'Autorità a seguito di alcune segnalazioni in cui si lamentavano irregolarità nel trattamento dei dati personali. I candidati denunciavano il fatto che per poter completare la procedura di registrazione al sito e concorrere così alle offerte di lavoro erano obbligati a dare il consenso, tramite un'opzione preselezionata, alla ricezione di informazioni promozionali per posta, telefono, email, sms.
Alla luce delle verifiche svolte il Garante, oltre ad inibire l'uso dei dati raccolti senza autorizzazione, ha dichiarato illeciti e ha vietato anche questi trattamenti perché effettuati in violazione della norma del Codice privacy che garantisce a chiunque la possibilità di esprimere un consenso libero e informato per ogni tipo di operazione che la società intende svolgere.
Dopo l'intervento del Garante la società non potrà più utilizzare le informazioni raccolte né per attività di intermediazione né per attività promozionali. I dati potranno essere solo conservati in vista di un'eventuale acquisizione da parte dell'autorità giudiziaria o per la tutela dei diritti in sede giudiziaria.
L'Autorità si è riservata l'applicazione di una sanzione amministrativa per l'inidonea informativa agli utenti. Il provvedimento è stato inviato al Ministero del lavoro per le valutazioni di competenza.

Sì all'accesso della madre naturale ai dati clinici della figlia non riconosciuta

Grazie alla legge sulla privacy una donna potrà avere accesso ai dati clinici della figlia non riconosciuta al momento della nascita e deceduta pochi giorni dopo il parto per gravi malformazioni. Potrà così conoscere la patologia genetica da cui era affetta la neonata e valutarne il possibile rischio di trasmissione in caso di nuova gravidanza.
Dopo il no dell'ospedale che aveva rigettato la sua richiesta di accesso ai dati sanitari della bambina  non risultando alcun ricovero di una sua figlia legittima, la donna ha presentato ricorso al Garante privacy. E l'Autorità, nell'accoglierlo [doc. web n. 2865660], ha ordinato all'azienda ospedaliera, sulla base a una specifica norma del Codice privacy, di consentire alla ricorrente l'accesso a tutti i dati sanitari contenuti nella cartella clinica della neonata. Il Codice riconosce, infatti, il diritto di accesso ai dati di una persona deceduta anche a "chi ha un interesse proprio", e il Garante ha ritenuto che la ricorrente in qualità di madre, anche solo naturale, della neonata possa legittimamente esercitare questo diritto al fine di disporre di informazioni indispensabili all'accertamento e alle modalità di  trasmissione di una patologia  genetica di cui potrebbe essere portatrice.  E poter così valutare il rischio  procreativo e affrontare una ulteriore scelta riproduttiva consapevole e informata.

Antiriciclaggio: adeguare i controlli ai "profili di rischio"

I controlli antiriciclaggio effettuati da banche e intermediari finanziari devono  rispettare le garanzie previste dalla normativa sulla riservatezza  ed essere proporzionati al profilo di rischio del cliente e alle caratteristiche dell'operazione da effettuare.
È quanto stabilito dal  Garante privacy [doc. web n. 2810010] che ha ordinato a Poste italiane di modificare in questo senso la propria rete informatica e di istruire adeguatamente il personale. Il sistema di Poste attualmente prevede un blocco automatico allo sportello per tutte le operazioni superiori ad un certo importo e controlli non solo sugli effettivi titolari dei rapporti ma anche sui semplici esecutori di una operazione.
Il caso è stato portato all'attenzione dell'Autorità da un dipendente pubblico che si è recato all'ufficio postale per effettuare un versamento di poche migliaia di euro per conto del Comune presso il quale lavora. In tale occasione l'impiegato allo sportello, anziché limitarsi a "identificarlo" come semplice esecutore di un'operazione intestata all'ente, ha aperto una verifica nei suoi confronti e analizzato i suoi rapporti personali con Poste (il conto corrente cointestato con il padre e una tessera prepagata). Il dipendente si è allora rivolto al Garante privacy lamentando una "palese intromissione" nella sua sfera di riservatezza per aver subito controlli ingiustificati. Al dipendente comunale era stato inoltre richiesto, per poter  effettuare il versamento, di aggiornare  i dati personali relativi al suo conto corrente.
Nell'accogliere i rilievi sollevati dall'interessato il Garante ha ritenuto illecito il comportamento di Poste e ha prescritto alla società di  adottare opportune misure formative e tecnico organizzative in grado di  prevenire trattamenti di dati personali  che esulino dal criterio dell'"approccio basato sul rischio" fissato dalla normativa antiriciclaggio. Secondo il Garante, infatti,  i controlli della clientela, cui sono tenuti gli intermediari finanziari in base alle norme antiriciclaggio,  oltre a rispettare le garanzie stabilite dalla normativa in materia di protezione dei dati personali, devono anche risultare "proporzionati" al rischio di riciclaggio rapportato al tipo di cliente e all'operazione che intende effettuare.  Criterio disatteso nel caso in esame, in cui sono state svolte verifiche obiettivamente eccedenti e non giustificate dal basso "profilo di rischio" di una persona delegata dal Comune, dall'esiguità dell'importo e dal tipo di operazione (acquisto di semplici buoni  lavoro da assegnare ad alcuni pensionati).

L'attività del Garante - per chi vuole saperne di più

Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

Newsletter del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it

Articoli collegati

ComplianceNet: