Privacy, Newsletter del Garante n. 416 del 21 giugno 2016: terrorismo, PA, RC Auto, Sanità

160622-garante-privacy-newsletter.jpg

  • Fonte: Garante per la protezione dei dati personali, Doc-Web: 5176031  

Il Garante per la protezione dei dati personali ha pubblicato la Newsletter n. n. 416 del 21 giugno 2016. Quattro gli argomenti trattati:

  1. Anni di piombo: no diritto all'oblio per l'ex terrorista
  2. Pa digitale: il Garante privacy chiede maggiori tutele
  3. Rc auto: app su stile di guida, solo se garantisce la privacy
  4. Sanità, un'attenta analisi delle procedure per garantire la privacy dei pazienti

Anni di piombo: no diritto all'oblio per l'ex terrorista  

Per reati particolarmente gravi prevale l'interesse del pubblico ad accedere alle notizie

La storia non si cancella. E' il principio sancito dal Garante privacy  nel dichiarare infondato il ricorso [doc. web n. 4988654] di un ex terrorista che chiedeva la deindicizzazione di alcuni articoli, studi, atti processuali in cui erano riportati gravi fatti di cronaca che lo avevano visto protagonista tra la fine degli anni 70  e i primi anni 80.
L'interessato che, tra detenzione e misure alternative ha finito di scontare la pena nel 2009, si era rivolto in prima battuta a Google chiedendo la rimozione di alcuni url e dei suggerimenti di ricerca che vengono visualizzati dalla funzione di "completamento automatico" digitando il nominativo nella stringa di ricerca (ad es., inserendo nome e cognome dell'interessato compare la parola terrorista).
Di fronte al mancato accoglimento delle sue richieste da parte di Google, l'interessato  ha presentato un ricorso al Garante sostenendo di non essere un personaggio pubblico ma un libero cittadino al quale la permanenza in rete di contenuti così risalenti nel tempo e fuorvianti rispetto all'attuale percorso di vita, cagiona gravi danni dal punto di vista personale e professionale.
Nel dichiarare infondato il ricorso, l'Autorità ha rilevato che le informazioni di cui si chiede la deindicizzazione fanno riferimento a reati particolarmente gravi, che rientrano tra quelli indicati nelle Linee guida sull'esercizio del diritto all'oblio adottate dal Gruppo di lavoro dei Garanti privacy europei nel 2014, reati per i quali le richieste di deindicizzazione devono essere valutate con minor favore dalle Autorità di protezione dei dati, pur nel rispetto di un esame caso per caso. Secondo il Garante, poi, le informazioni hanno ormai assunto una valenza storica, avendo segnato la memoria collettiva. Esse riguardano una delle pagine più buie della storia italiana, della quale il ricorrente non è stato un comprimario, ma un vero e  proprio protagonista. Inoltre, nonostante il lungo lasso di tempo trascorso dagli eventi l'attenzione del pubblico è tuttora molto alta su quel periodo e sui fatti trascorsi, come dimostra l'attualità dei riferimenti raggiungibili mediante gli stessi url.
Il Garante ritenendo quindi prevalente l'interesse del pubblico ad accedere alle notizie in questione, ha dichiarato infondata la richiesta di rimozione degli url indicati dal ricorrente ed indicizzati da Google.
L'Autorità ha inoltre dichiarato non luogo a provvedere sulla rimozione dei suggerimenti di ricerca nel frattempo eliminati da Google e su un url di un articolo non più indicizzabile da quando l'archivio del quotidiano che lo aveva pubblicato è divenuto una piattaforma a pagamento.

Pa digitale: il Garante privacy chiede maggiori tutele

Parere su nuovo Cad. Auspicata anonimizzazione delle sentenze on line

Sì condizionato del Garante per la protezione dei dati personali sullo schema di decreto legislativo della Presidenza del Consiglio dei ministri che modifica e integra il Codice dell'amministrazione digitale (Cad) [doc. web n. 5177397]. L'Autorità ha chiesto maggiori garanzie di riservatezza  per chiunque si avvalga dell'identità digitale.
Lo schema intende attuare la delega della legge 124/2015 volta a promuovere e rendere effettivi i diritti di cittadinanza digitale di cittadini e imprese e mira a coordinare la disciplina nazionale in materia di documenti informatici e firme elettroniche con quella europea.  Poiché sono previste significative innovazioni al Cad e visto il notevole impatto del provvedimento sui diritti delle persone, l'Autorità ha formulato le proprie osservazioni al fine di adeguare maggiormente il contenuto dello schema di decreto alla disciplina in materia di protezione dati.
Il Garante ha segnalato quindi la necessità di adeguare i termini utilizzati  nello schema alle definizioni adottate nel Regolamento Ue n. 910/2014 (eIDAS) in materia di identificazione elettronica e servizi digitali per le transazioni elettroniche nel mercato interno, e di garantire coerenza tra decreti relativi a Cad, Spid e a trasparenza e anticorruzione. In linea con quanto previsto dalla normativa, l'Autorità ha chiesto, poi, di estendere  il diritto di avere e poter utilizzare un'identità digitale a chiunque risieda legalmente in Italia, non limitandola quindi, senza motivo, a soli cittadini e imprese e di garantire che l'elezione o l'assegnazione del domicilio digitale, considerato mezzo esclusivo di comunicazione con le pubbliche amministrazioni, resti nella facoltà dell'interessato e non divenga un obbligo.
Il Garante ha chiesto, inoltre, di disporre adeguate garanzie per i dati personali, in particolare eliminando la possibilità di inserire nel certificato di firma elettronica qualificata dati aggiuntivi rispetto a quanto previsto dal Regolamento eIDAS (come ad esempio il codice fiscale). Questa previsione infatti, non in linea con i principi di pertinenza e non eccedenza, rischia di contribuire a rendere di fatto il codice fiscale un identificatore unico a livello nazionale,  ratificandone l'utilizzo generalizzato al di fuori del settore fiscale.
Per quanto riguarda l'anonimizzazione delle sentenze - secondo il Consiglio di Stato un tema fuori delega e un ingiustificato appesantimento dell'attività amministrativa - il Garante, nel prendere atto dell'impegno della Presidenza del Consiglio di verificare se tale disposizione rientri nell'ambito della delega, ritiene  tuttavia, che l'appesantimento derivi più dal dover procedere con   una valutazione caso per caso, che non dalla generalizzata anonimizzazione delle sentenze. Prassi sostenuta dall'Autorità  che potrebbe considerarsi  applicazione del principio della privacy by default (protezione per impostazione definita) introdotto dal nuovo Regolamento europeo in materia di protezione dei dati personali, realizzabile seguendo opportune tecniche di redazione.
In tema di sicurezza, infine, l'Autorità ritiene opportuno non abrogare l'articolo relativo al disaster recovery e alla continuità operativa, mantenendo in capo ai soggetti pubblici l'obbligo di provvedere alla conservazione sicura dei dati anche nella fase di attuazione  delle nuove regole.

Rc auto: app su stile di guida, solo se garantisce la privacy

Il software proposto da una assicurazione per ottenere sconti sulle polizze

Una compagnia assicurativa potrà attivare una app per monitorare lo stile di guida degli utenti che decideranno di installarla sul proprio smartphone e proporre a ai più prudenti e attenti al Codice della strada dei buoni sconto per l'acquisto di polizze auto. La società dovrà però informare correttamente i guidatori, limitare i tempi di conservazione dei dati e garantire la privacy degli automobilisti.
Il progetto, sottoposto alla verifica preliminare del  Garante per la privacy [doc. web n. 5175960], prevede lo sviluppo di un'applicazione gratuita da installare sul cellulare, che attribuisce un diverso punteggio basato sullo stile di guida rilevato, e consente agli utenti la visualizzazione dei luoghi in cui si sono verificati eventi potenzialmente rischiosi (quali inversioni ad U, brusche frenate e accelerate). Obiettivo dichiarato della società quello di promuovere modalità di guida più sicure,  contribuire a un minor consumo di carburante e offrire al contempo ai guidatori che hanno raggiunto un certo punteggio eventuali promozioni per l'acquisto di una polizza auto.
La società potrà attivare l'applicativo solo dopo averlo modificato per garantire maggiormente la riservatezza degli automobilisti come richiesto dal Garante. Il partner tecnologico coinvolto nella fornitura del servizio, ad esempio, non potrà conservare i dati sulla geo-localizzazione dei guidatori per più di 90 giorni e potrà trasmettere alla compagnia assicuratrice informazioni statistiche sulle strade percorse esclusivamente dopo aver anonimizzato i dati, eliminando così ogni riferimento agli automobilisti. I dati necessari a contattare gli utenti che manifesteranno uno specifico consenso alla profilazione del loro stile di guida per finalità di marketing potranno invece essere conservati dalla compagnia assicuratrice al massimo per un anno.
Il Garante ha infine prescritto alla società assicuratrice di modificare l'informativa fornita agli utenti che decideranno di installare l'applicativo, chiarendo con precisione quali dati personali saranno trattati e per quale finalità. Tali indicazioni, ad esempio, non dovranno limitarsi a riportare generici riferimenti al monitoraggio dello "stile di guida",  ma dovranno specificare i parametri su cui sarà basata la profilazione del guidatore, come il tipo di strada percorsa, le accelerazioni e le frenate brusche, l'eventuale superamento della velocità consentita.

Sanità, un'attenta analisi delle procedure per garantire la privacy dei pazienti

Ok allo schema tipo della Regione Lazio per aziende del servizio sanitario regionale

L'analisi delle finalità, dei processi e degli strumenti è il primo passo per individuare gli adempimenti necessari in materia di protezione dei dati in ambito sanitario e indicare soluzioni operative rispettose dei diritti alla cura e alla riservatezza dei pazienti. Tale approccio, messo in atto dalla Regione Lazio, si muove nella direzione sempre auspicata dal Garante privacy.  E' questo, in sintesi, il giudizio espresso dall'Autorità su uno "Schema tipo di regolamento aziendale sul trattamento dei dati nei processi di diagnosi e cura", elaborato dalla Regione Lazio a seguito dell'adozione delle Linee guida in tema di Dossier sanitario, varate nel 2015 dal Garante [doc. web. n. 5177496].
Nel "promuovere" lo schema l'Autorità evidenzia inoltre come solo a seguito di una attenta analisi dei processi possano essere attribuiti i diversi profili e livelli di accesso ai dossier sanitari aziendali, nonché  individuati i tempi strettamente necessari per effettuare le attività di consultazione.
Lo schema nasce da uno studio svolto dal Policlinico Umberto I di Roma nell'adempiere alle prescrizioni dettate dall'Autorità per rendere conforme al Codice privacy i trattamenti di dati effettuati attraverso il dossier sanitario aziendale. Nel mettere in atto tali misure il Policlinico ha censito tutti i trattamenti di dati personali svolti al suo interno, compresi quelli per fini di ricerca e amministrativi; le diverse figure (medici, personale sanitario, dottorandi) responsabili a vario titolo dei trattamenti, suggerendo modalità di designazione, contenuto delle nomine, e protocolli di vigilanza sul loro operato; gli strumenti informatici utilizzati e i relativi  obblighi di sicurezza. Il documento "fotografa" anche i numerosi processi di diagnosi e cura presenti in una struttura sanitaria (ad es., accesso al pronto soccorso, ricovero ordinario, ricovero in day surgery), anche in riferimento alle forme di assistenza previste per particolari patologie (ad es., le cronicità, le prestazioni peculiari come la consegna diretta dei farmaci).
Lo schema sarà sottoposto all'approvazione della Giunta regionale affinché possa essere utilizzato dalle aziende sanitarie del servizio sanitario regionale come riferimento per la stesura del proprio regolamento aziendale.

Ultimi articoli su Privacy

Rimani in contatto

140709-linkedin2.jpg  facebook facebook

ComplianceNet: