Garante Privacy: dossier sanitario accessibile solo per ragioni di cura. Sanzionata una ASL
Sanzione di 40mila euro del Garante privacy ad una Asl per non aver configurato il dossier sanitario aziendale in modo tale da impedire al personale autorizzato di visionare lo stato di salute dei colleghi per finalità ulteriori rispetto a quelle di cura. L’Autorità – intervenuta a seguito del reclamo di un’infermiera, che era al contempo paziente e dipendente della Asl – ha infatti accertato che le responsabili dell’organizzazione dei turni del reparto dove lavorava, durante il lockdown, avevano avuto liberamente accesso al dossier sanitario dei colleghi per verificare l’eventuale positività al Covid-19 e pianificare le presenze in ospedale. Secondo la Asl la pratica si era resa necessaria per sapere su quali risorse umane poter contare, considerato che, nel periodo della pandemia, gran parte del personale era in malattia contagiato dal Covid. Nel suo provvedimento il Garante ha messo innanzitutto in evidenza come l’accesso al dossier sanitario sia consentito solo ai medici e al personale
I dati sanitari di una paziente finiscono nella tesi di un corso di formazione, il Garante della Privacy ammonisce un osteopata
Chi opera nel settore sanitario deve sempre mantenere il segreto professionale e rispettare la privacy dei propri assistiti non rivelando all’esterno informazioni sulla salute acquisite nell’ambito del rapporto fiduciario medico - paziente. Lo ha ribadito il Garante privacy nell’ammonire un’osteopata che aveva violato la disciplina privacy e anche il codice di deontologia medica, riportando informazioni sullo stato di salute di una paziente all’interno della tesi redatta a conclusione di un corso di formazione. La violazione era stata segnalata all’Autorità dalla stessa paziente. Nella tesi, in particolare, era stato inserito un documento clinico contenente numerose informazioni sullo stato di salute dell’interessata, i cui dati anagrafici erano stati cancellati in modo approssimativo, tale da non impedire di risalire comunque al suo nome e cognome e di associare così le informazioni anagrafiche a quelle relative alla sua condizione fisica. Al riguardo, il Garante privacy ha ricordato che la procedura di cancellazione manuale non è idonea
Le strategie di sicurezza richiedono sinergie e proattività fra DPO e funzioni IT
Come deve agire il DPO nelle strategie di sicurezza, tenendo conto delle ulteriori funzioni che inevitabilmente sono coinvolte nella stessa? Di certo non può chiedersi a un professionista, o ad un ufficio, che agisca come one-man band ed estenda (o spesso, improvvisi) il proprio campo d’azione a tematiche così complesse come la sicurezza delle informazioni ed attendersi che tale azione possa essere efficace. Inoltre, è bene ricordare che la natura del profilo del DPO è eminentemente legale, ma questo già lo dice chiaramente la norma. Ben venga poi se ha competenze tecniche, ma queste devono essere funzionali all’attività di advisoring in quanto non può entrare nelle decisioni operative. Altrimenti, ne emergerebbe un quasi certo conflitto d’interessi e una conseguente inidoneità a svolgere tale ruolo. Ciò che più si avvicina al DPO, molto probabilmente, è il profilo di un auditor con competenze specifiche in ambito di normativa e prassi in materia di protezione dei
Whistleblowing: la scadenza per le aziende è il 17 dicembre
Le aziende del settore privato di piccole dimensioni hanno ancora poche settimane per gli adempimenti dettati dalla nuova disciplina sul whistleblowing, entrata in vigore il 30 marzo con il D.Lgs. 24/2023, che tutela le persone che segnalano violazioni di cui siano venute a conoscenza nel contesto lavorativo e che prevede l’istituzione di un canale interno di segnalazione, adeguate procedure e la nomina di un soggetto incaricato della gestione. La normativa, infatti, ha lasciato tempo fino al 17 dicembre prossimo per le società che abbiano impiegato nell’ultimo anno una media di lavoratori tra i 50 e i 249, mentre per gli altri soggetti, pubblici e privati, la scadenza è decorsa il 15 luglio. Obiettivo della legge, in linea con la direttiva europea da cui origina, è quello di rafforzare la tutela giuridica delle persone che segnalano internamente all’azienda, o all’esterno mediante il canale istituito da Anac, o divulgano pubblicamente, violazioni di disposizioni normative nazionali
Le indicazioni per gestire la continuità operativa quando un’emergenza colpisce i dati aziendali
Integrità, disponibilità e riservatezza dei dati personali sono i tre pilastri che il GDPR richiede debbano essere assicurati dalle organizzazioni. La “UNI EN ISO 22301:2019 Sicurezza e resilienza - Sistemi di gestione per la continuità operativa – Requisiti” è una norma certificabile che contiene un insieme di requisiti richiesti da un sistema di gestione della continuità operativa (BCMS), ed è supportata dalla “UNI EN ISO 22313:2020 Sicurezza e resilienza - Sistemi di gestione per la continuità operativa - Guida all'utilizzo della ISO 22301“ che contiene preziose indicazioni di carattere strettamente operativo quando una situazione emergenziale colpisce i dati aziendali. Il possesso di un BCMS è un elemento che tutela le organizzazioni e tutte le parti interessate gravitanti intorno ad esse, fornendo al contempo valide garanzie. Ovviamente, se il sistema è certificato da un organismo di terza parte tali garanzie sono attestate da verifiche di soggetti autorizzati. Titolari, Responsabili e Data Protection
Il trojan low cost può violare la vostra privacy spiandovi attraverso lo smartphone
Se sospettate che qualcuno possa spiarvi sul cellulare, la vostra potrebbe essere più che una semplice preoccupazione. La batteria che dura meno del solito, l’apparecchio che funziona più lentamente del normale o si scalda sensibilmente mentre lo tenete in mano, oppure un inspiegabile aumento del consumo di traffico dati possono essere alcuni indizi che non siete i soli ad usare il vostro smartphone. In altri casi invece il vostro telefono potrebbe non presentare alcuna anomalia evidente mentre qualcuno a vostra insaputa legge indisturbato le vostre chat, controlla il posto dove vi trovate esattamente utilizzando la geolocalizzazione del vostro stesso dispositivo elettronico, legge le vostre email, o ascolta addirittura le vostre telefonate. Se credete che si tratti di attività svolte solo da servizi di intelligence governativi o nell’ambito di spionaggio industriale di alto livello, oppure che possano prendere di mira solo persone coinvolte in indagini giudiziarie, forse non sapete che chiunque abbia interesse
Una società può essere titolare del trattamento dei dati di geolocalizzazione anche se non vi accede
La Corte di Cassazione torna ad esprimersi sulla titolarità del trattamento, ribadendo l’orientamento già più volte in precedenza sentenziato. Facendo riferimento all’allora vigente art. 28 Codice Privacy (secondo cui "titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza"), nella sentenza n. 26969 del 21 settembre 2023, la Corte riprende il proprio relativo consolidato orientamento ribadendo che la disposizione dei dati e la possibilità di gestirli può bastare per qualificare la persona giuridica quale titolare del trattamento. Relativamente al caso specifico, una società ideava e sviluppava un sistema di geolocalizzazione e lo metteva nella disponibilità di altra società che esercitava l'attività di trasporto di merci su strada per conto terzi, la quale lo installava sui mezzi in dotazione. Il relativo database rimaneva nella piena disponibilità della società ideatrice,
Sms promozionali senza consenso: sanzionata l’Università telematica e-Campus
Una sanzione di 75mila euro è stata comminata dal Garante per la protezione dei dati personali all'Università telematica e-Campus ritenuta responsabile di aver inviato sms promozionali senza il consenso dei destinatari. L’Autorità, inoltre, ha ingiunto all’ateneo di verificare le misure tecniche e organizzative adottate per poter dimostrare di aver acquisito un valido consenso al trattamento dei dati a fini promozionali, anche in caso di affidamento delle campagne pubblicitarie a terzi. All’ateneo è stato anche vietato l’uso dei dati trattati in modo illecito. L’intervento dell’Autorità segue il reclamo di alcuni cittadini che lamentavano la ricezione di sms indesiderati e, in un caso, di telefonate promozionali reiterate per 6 anni, anche dopo essersi opposti a tali invii e non aver avuto alcun riscontro da parte dell’università. L’ateneo, infatti, in violazione del Regolamento Ue e del Codice privacy, ha protratto per anni l’invio di messaggi promozionali senza tener in alcun conto i diritti dei destinatari, nonostante i numerosi
Garante della privacy sanziona Asl per misure di sicurezza inadeguate
Sanzione del Garante privacy di 30.000 euro la Asl Napoli 3 Sud per non aver protetto adeguatamente da attacchi hacker i dati personali e i dati sanitari di 842.000 tra assistiti e dipendenti. La struttura sanitaria aveva subito un attacco ransomware che attraverso un virus aveva limitato l'accesso al data base della struttura sanitaria e richiesto un riscatto per ripristinare il funzionamento dei sistemi. Come previsto dalla normativa in materia protezione di dati personali, l’Asl aveva provveduto a comunicare il data breach al Garante che ha immediatamente aperto un’istruttoria sull’accaduto per verificare le misure tecniche e organizzative adottate dalla Asl sia prima che dopo l’attacco subito. Diverse le importanti criticità rilevate dal Garante a seguito dell’attività ispettiva, come la mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e a garantire la sicurezza delle reti, anche in violazione del principio della protezione dei dati fin dalla progettazione (privacy by design).
Il Garante della Privacy multa una società energetica per 10 milioni di euro
Il Garante Privacy ha comminato una sanzione di 10 milioni di euro ad Axpo Italia Spa, società fornitrice di energia elettrica e gas, per l’attivazione di contratti non richiesti nel mercato libero mediante il trattamento di dati inesatti e non aggiornati della clientela. La società, che ha trattato illecitamente i dati personali di oltre 5mila utenti, dovrà adottare una serie di misure tecniche e organizzative prescritte dall’Autorità per conformarsi alla normativa italiana e europea sulla protezione dei dati. Il Garante è intervenuto a seguito di numerosi reclami di utenti che lamentavano l’attivazione a loro insaputa di contratti di luce e gas intestati a proprio nome, dei quali erano venuti a conoscenza dopo aver ricevuto lettere di chiusura del precedente fornitore o dei solleciti di pagamento delle fatture insolute. Gli stessi lamentavano, in particolare, che i propri dati personali (come ad es. indirizzo email, numero di telefono e di fornitura) indicati nel contratto fossero