I dati sanitari di una dipendente finiscono online, sanzionato un istituto scolastico
L’Autorità Garante è tornata sull’annosa questione del precario equilibrio tra obblighi di trasparenza, in capo alle PP.AA. – lato sensu – e i diritti degli interessati, infliggendo una sanzione amministrativa di Euro 2.000 per trattamento illecito dei dati personali con il provvedimento n. 255 del 24 giugno 2021. Il caso in questione riguarda la violazione dei diritti di una dipendente che vedeva pubblicati, nella sezione “Trasparenza Amministrativa” del sito internet dell’Istituto Scolastico, alcuni suoi dati personali riguardanti, in particolare, informazioni relative lo stato di salute (dati sanitari). I dati in questione erano stati caricati dalla stessa dipendente all’interno del portale intranet dell’Istituto a corredo di una propria domanda/istanza e ‘flaggati’ dal personale amministrativo dell’Istituto scolastico come documenti accessibili al pubblico e di libera consultazione. A seguito della segnatura quali documenti pubblici, i dati erano raggiungibili sia dalla pagina internet della scuola sia attraverso i motori di ricerca, in particolare Google, nei quali inserendo
Data Retention: Urgente una riforma
Il Garante per la protezione dei dati personali ha inviato una segnalazione al Parlamento e al Governo con la quale chiede di valutare l’opportunità di una riforma della disciplina della conservazione dei dati di traffico telefonico e telematico a fini di giustizia. La modifica più volte sollecitata dall’Autorità si è resa ora ulteriormente necessaria a seguito della sentenza della CGUE del 2 marzo scorso (causa C-746/18). Tale pronuncia, infatti, sviluppa e precisa un indirizzo già consolidato, a partire dalla sentenza Digital Rights Ireland dell’8 aprile 2014 con cui la Corte di Giustizia ha dichiarato l’illegittimità della direttiva 2006/24/Ce in materia di data retention per violazione del principio di proporzionalità nel bilanciamento tra protezione dati ed esigenze di pubblica sicurezza. Una carenza di proporzionalità che nel caso italiano è stata ulteriormente accentuata dalla legge 167/2017 che ha esteso a sei anni il termine massimo di conservazione dei tabulati prima stabilito in due anni per i
Le app per combattere le dipendenze da sostanze condividono dati personali degli utenti con Google e Facebook
App utilizzate da migliaia di persone in cerca di supporto per guarire dalla dipendenza da oppiacei accedono a informazioni personali sensibili e possono inviarle a Google e Facebook, che a loro volta sono in grado di identificare gli utenti. A renderlo noto è il Financial Times menzionando una ricerca pubblicata nei giorni scorsi da ExpressVPN Digital Security Lab, che ha esaminato il codice sorgente di 10 di queste applicazioni Android scoprendo che molte di esse stavano accedendo a dati privati come il numero di telefono, l’operatore telefonico e l’indirizzo IP dell’utente. Dopo essere state aggregate, queste informazioni possono essere infatti utilizzate per identificare gli utenti, i quali potrebbero essere presi di mira da terze parti come inserzionisti o autorità di paesi in cui l’uso di droghe è punito dalla legge. In alcuni casi, è stato scoperto che informazioni come i dati Gps sulla posizione dell’utente vengono condivise con Facebook e altre terze parti. La pubblicazione
Dipendente asporta informazioni di diecimila pazienti
Le aziende investono sempre più risorse in cybersicurezza per proteggere i loro dati, ma non sempre chi li viola è un hacker, e non sempre chi se ne appropria è un malintenzionato che attacca dall’esterno. Anzi, più del 50% delle organizzazioni intervistate nell’ambito di uno studio di Cyber Security Researcher hanno confermato che gli attacchi che hanno subìto a danno dei propri sistemi informatici sono avvenuti dall’interno. Ne è un esempio il caso di un dipendente del reparto IT di un centro di ricerca clinica per la diagnosi di malattie genetiche rare, che prima di lasciare il suo posto di lavoro ha copiato tutte le informazioni sensibili di 10.000 pazienti sia adulti che bambini. A dare notizia del data breach è stata l’autorità di controllo turca (KVKK) che, secondo quanto previsto dalla Legge nazionale sulla protezione dei dati personali n. 6698/2016, nei giorni scorsi ha pubblicato un comunicato stampa per rendere nota
Chiave elettronica dell’auto: le informazioni sono dati personali
Con l'affermarsi dei Big Data si espande anche la nozione di "dati personali" e dunque la necessità che il relativo trattamento avvenga nel rispetto della Privacy. Con una decisione inedita, la n. 19270/2021, la Corte di Cassazione ha infatti accolto, con rinvio, il ricorso di un automobilista che chiedeva la condanna di una nota casa automobilistica tedesca al risarcimento di tutti i danni, patrimoniali e non patrimoniali, subiti per aver rilasciato un duplicato della chiave elettronica dell'auto a un truffatore. La macchina è stata poi rubata ma il contenzioso davanti alla Suprema corte riguarda la cessione a terzi di un dispositivo – la chiave elettronica appunto – contenente una serie di dati in grado fornire informazioni sul soggetto proprietario. II Tribunale, invece, aveva rigettato la domanda non ravvisando alcun illecito trattamento "poiché il numero di telaio era già in possesso del truffatore, allorché questi si era recato dal concessionario". La condotta avrebbe
Cookie, non basta invocare il legittimo interesse.
Il legittimo interesse non c'entra niente con i cookie di profilazione. Ci vuole il consenso dell'interessato per mettere sui dispositivi di chi si collega a un sito web i cookie che tracciano il profilo delle persone; e non basta invocare il diverso presupposto del legittimo interesse. Finalmente è arrivata la parola definitiva del Garante della privacy, che, nelle Linee guida cookie e altri strumenti di tracciamento (provvedimento 10 giugno 2021 n. 231), ha chiarito che i banner sui cookie di profilazione non possono contenere un riferimento alla base giuridica del legittimo interesse, tralasciando il consenso. Ora gli editori dei siti internet hanno tempo fino al 10 gennaio 2022 per mettersi in regola (e cioè fino al termine accordato dallo stesso provvedimento del Garante: sei mesi di tempo decorrenti dalla pubblicazione sulla Gazzetta ufficiale delle citate Linee guida, avvenuta sul numero 163 del 9 luglio 2021). E sono molti gli interessati, in
I pazienti hanno diritto di scegliere quali dati oscurare nel fascicolo sanitario
La normativa sul Fascicolo sanitario elettronico prevede che l’interessato possa oscurare dati e documenti presenti nel fascicolo che saranno così accessibili solo dallo stesso interessato e dal medico che li ha generati. Tale diritto è esercitabile al momento in cui sono generati i referti o successivamente. A seguito del mancato rispetto della richiesta di oscuramento avanzata dai pazienti, il Garante ha sanzionato due Aziende sanitarie (la Usl della Romagna e l’Azienda Provinciale per i Servizi Sanitari di Trento), rispettivamente per 120.000 e 150.000 euro. Nel primo caso l’Autorità è intervenuta a seguito di una notifica della Usl della Romagna per aver trasmesso ad un medico di famiglia il referto di una paziente che, al momento del ricovero per interruzione farmacologica della gravidanza, ne aveva richiesto l’oscuramento attraverso la compilazione di un apposito modulo. La trasmissione era avvenuta mediante la rete regionale “Sole”, che attraverso la raccolta dei documenti sanitari personali di ogni
Aggiornamento NextWare Pro 2.9.6.8
Rilasciato il nuovo aggiornamento del NextwarePro, il sistema di gestione sviluppato per il Non Profit e con il Non Profit. Stampa rendiconti incassi scadenze predefinite: E’ stata aggiunta la casella che consente di selezionare tutti i sottolivelli del progetto selezionato. Pagamenti e incassi multipli: La selezione tiene ora conto anche della sezione di appartenenza dell’utente. Anagrafica causali: E’ stata inserita la possibilità di annullare logicamente la causale: le causali annullate non potranno più essere utilizzate per le nuove registrazioni, ma rimarranno valide per le registrazioni preesistenti. Stampa soci: E’ stato inserito anche il rappresentante. Anagrafica bambini, donatori, promotori: E’ ora gestibile anche lo stato estero. Anagrafica bambini: Da questa release è possibile gestire i dati anagrafici aggiunti dei bambini. Il significato da attribuire a questi dati viene definito in configurazione. La ricerca parametrica può essere eseguita filtrando anche in base a questi nuovi dati. Incassi quote da soggetti non iscritti Si tratta di una
NEXTCHECK: il nuovo servizio gratuito di check up per Enti del Terzo settore
Raccontateci come aiutate e noi aiutiamo voi a migliorare. Siete un Ente del Terzo Settore? Vorreste migliorare l’efficienza delle vostre attività ma non sapete da dove iniziare? Compilando semplicemente il nostro check up, sottoponendoci le vostre esigenze, indicandoci gli obiettivi che volete raggiungere e noi poi faremo il resto. Il nostro team eseguirà un’analisi gratuita, indicandovi le vostre eventuali criticità e sottoponendovi alcuni consigli per un percorso di crescita e miglioramento. Crediamo che l’integrazione sia il modo per aiutarvi a raggiungere la massima efficienza. Per questo vi proporremo la soluzione più adatta alle vostre attività no profit: dal fundraising, alla contabilità, dalla gestione dei progetti, alle rendicontazioni richieste dalla Riforma del Terzo Settore, dalla gestione dei soci, al controllo di gestione, dal documentale ai cespiti, dalla gestione dei ringraziamenti alle comunicazioni alla gestione e schedulazione delle attività. Nextcheck il vostro ETS a portata del cambiamento. Maggiori Info: https://www.nextwarepro.it/check-up/
Gli algoritmi del gruppo Glovo discriminavano i rider a loro insaputa
La società Foodinho, controllata da GlovoApp23, dovrà modificare il trattamento dei dati dei propri rider, effettuato tramite l’utilizzo di una piattaforma digitale, e verificare che gli algoritmi di prenotazione e assegnazione degli ordini di cibo e prodotti non producano forme di discriminazione. La società dovrà anche pagare una sanzione di 2,6 milioni di euro. Questa la decisione del Garante per la privacy, la prima riguardante i rider, all’esito di un primo ciclo ispettivo sulle modalità di gestione dei lavoratori di alcune delle principali società di food delivery che operano in Italia. La complessa attività istruttoria ha riguardato anche la società italiana Foodinho, presso la quale sono state riscontrate numerose violazioni della normativa privacy, dello statuto dei lavoratori e della recente normativa a tutela di chi lavora con le piattaforme digitali. Il Garante italiano ha anche attivato, per la prima volta, una operazione congiunta di cooperazione europea, ai sensi del Gdpr, con il