Dati sanitari dei pazienti raccolti presso 7mila medici senza anonimizzazione: società sanzionata per violazione della privacy
Il Garante privacy ha comminato una sanzione di 15mila euro a una società per aver trattato illecitamente i dati sanitari di numerosi pazienti raccolti presso circa 7mila medici di medicina generale (Mmg), senza adottare idonee tecniche di anonimizzazione. L’Autorità si è attivata a seguito di una segnalazione di un medico di base che lamentava una presunta violazione della disciplina privacy da parte della società, impegnata nella realizzazione di un progetto internazionale volto a migliorare le cure dei pazienti attraverso la raccolta e l’analisi di dati sanitari. A tal fine i Mmg aderenti all’iniziativa dovevano aggiungere al gestionale in uso -denominato “Medico 2000” e fornito da un’azienda informatica partner della società – un’ulteriore funzionalità (c.d. add-on) volta ad anonimizzare automaticamente i dati dei pazienti e trasmetterli in un data base della stessa società. In cambio i medici ottenevano una serie di vantaggi, tra cui un compenso economico. Dall’istruttoria del Garante, è emerso che le funzionalità del
Sanzione del Garante Privacy ad un’azienda che aveva installato un sistema di allarme con geolocalizzazione e impronte digitali dei lavoratori
Il rispetto della procedura di garanzia prevista dallo Statuto dei lavoratori e dal Codice privacy costituisce un requisito essenziale per la correttezza dei trattamenti dei dati personali dei lavoratori in azienda. Non sono bastate le motivazioni presentate da un’azienda per evitare una sanzione di 20mila euro dal Garante per la protezione dei dati personali per aver installato un sistema di allarme la cui attivazione e disattivazione si basava sull’uso delle impronte digitali, un impianto di videosorveglianza e un applicativo per la geolocalizzazione di alcuni lavoratori. Le violazioni sono emerse dall’ispezione avviata dall’Autorità in collaborazione con il Nucleo speciale tutela privacy della Guardia di finanza, a seguito di una segnalazione. In particolare, con riferimento al sistema di videosorveglianza, è stato accertato che lo stesso, oltre alle riprese delle immagini in diretta, era in grado di captare anche i suoni ed effettuare registrazioni; avevano accesso attraverso uno smartphone il legale rappresentante della società e la sua
Il consenso nei trattamenti del whistleblowing
Il D.lgs. n. 24/2023 ha previsto alcune operazioni di trattamento in ambito whistleblowing che necessitano del consenso dell’interessato (art. 6 e 7 del GDPR), quale condizione di liceità per specifiche finalità. Tali trattamenti sono previsti dall’art. 12 (obbligo di riservatezza), paragrafi 2 e 5 e dalla art. 14 (conservazione della documentazione), paragrafi 2 e 4, del citato Dlgs. n. 24/2023. Il par. 2 dell’art. 12 prevede il trattamento che concerne la “rivelazione dell’identità del segnalante” a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, comunque espressamente autorizzate e istruite a trattare tali dati. Nel caso in cui si ravvisi tale necessità il titolare del trattamento dovrà informare l’interessato (segnalante) ed acquisire un consenso libero e specifico a tal fine, giacché il suddetto art. 12, par. 2, prevede appunto che l’identità del segnalante non può essere rivelata senza il consenso espresso dello stesso. Il suddetto trattamento può riguardare anche
Whistleblowing: divieti, limitazioni, qualificazioni soggettive e adempimenti per il trattamento dei dati personali
Il D.lgs. n. 24/2023, in G.U. n. 63 del 15.03.2023, vigente al 30.03.2023, attua la direttiva UE 2019/1937, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle normative nazionali. In particolare, l’art. 13 (della succitata disposizione normativa) è dedicato al “trattamento dei dati personali”. Appare singolare la previsione all’interno del testo normativo in esame di una specifica disposizione dedicata al trattamento dei dati personali, segno tangibile dell’impatto significativo che l’applicazione di tale legge può avere in ambito data protection. Al contempo, si segnala che nella legge si intravede un ritorno “nazionale” alle indicazioni specifiche, con spazio residuale per l’accountability (di matrice europea) del titolare del trattamento, confinata al rispetto dei principi fondamentali. Al primo comma dell’art. 13 viene indicata la cornice normativa, con esplicito richiamo alle disposizioni applicabili in materia di privacy e protezione dei dati personali, ovvero il Regolamento
Whistleblowing, In vigore le nuove regole per le grandi aziende
E' entrato in vigore il (15 luglio 2023 del dlgs. n.24/2023), che dà attuazione alla direttiva (Ue) 2019/1937 in materia di whistleblowing, fatto salvo il termine più ampio del 17 dicembre 2023 per i soggetti del settore privato che abbiano impiegato fino a 249 lavoratori nell'ultimo anno. La nuova normativa, che racchiude in un unico testo la disciplina del settore pubblico e privato, ha definito in maniera organica un complesso regime di obblighi e tutele che ampliano le garanzie per i «segnalanti» (e le persone legate al whistleblower da stabili rapporti affettivi o di parentela entro il quarto grado, nonché ai c.d. «facilitatori» e agli enti di proprietà di tutti questi soggetti), al fine di incentivare il sistema di segnalazione che pregiudichi l'integrità dell'ente o l'interesse pubblico. In questo scenario si colloca l'iniziativa dell'Autorità garante della concorrenza e del mercato che ha introdotto una propria piattaforma di Whistleblowing da dove le persone
Il controllo sulla posta elettronica aziendale deve rispettare i diritti del lavoratore
La Corte di Cassazione è tornata nuovamente a pronunciarsi sul tema dei controlli difensivi del datore di lavoro sulla posta elettronica aziendale. Con sentenza n. 18168 depositata il 26 giugno 2023 la Corte, nel confermare l’illegittimità del licenziamento di un dirigente bancario per sospetto di infedeltà, ha confermato il principio di diritto espresso nei suoi precedenti (Cassazione n. 25732 del 2021, Cassazione n. 34092 del 2021) sui limiti dei controlli del datore di lavoro nei confronti dei propri dipendenti. Nel caso di specie, una banca aveva licenziato un dirigente a seguito di un controllo indiscriminato sulla sua posta elettronica aziendale. La Corte d’Appello di Milano aveva dichiarato il monitoraggio illegittimo, in quanto la banca non aveva garantito “la proporzionalità e le garanzie procedurali contro l’arbitrarietà del datore di lavoro”. In particolare, la banca: - non aveva allegato i “motivi che hanno portato ad un’indagine così invasiva”; - aveva controllato “indistintamente tutte le comunicazioni presenti nel pc
Intelligenza Artificiale fuori controllo: il problema non è solo etico ma anche giuridico
Una recente notizia battuta dalle principali agenzie di stampa riporta che un avvocato di New York è accusato di aver riportato come precedenti in una causa (c.d. “stare decisis”) diverse sentenze inesistenti reperite a suo dire attraverso la piattaforma di intelligenza artificiale ChatGPT. Si trattava di un caso di lesioni subite da una persona colpita al ginocchio da un carrello poco prima di imbarcarsi su di un aereo all'aeroporto internazionale Kennedy di New York. Il legale decise di citare in giudizio la compagnia aerea producendo un fascicolo di dieci pagine con altri casi simili: Martinez contro Delta Air Lines, Zicherman contro Korean Air Lines e, Varghese contro China Southern Airlines. Tutti casi inesistenti perché inventati da ChatGPT. (Fonte: Fanpage.it). L'avvocato ha detto di non essere a conoscenza del fatto che i contenuti prodotti dall'intelligenza artificiale "fossero falsi". Il legale si è giustificato dicendo di non aver mai usato la chatbox prima e ha assicurato che non
Se dovete lasciare il pc all’assistenza meglio non fidarsi e prendere precauzioni.
Un’indagine dell’Università di Guelph in Canada ha rivelato che il 37,5% dei tecnici informatici che prendono in carico un computer per ripararlo sbirciano tra i files e i dati personali dei clienti, e a volte li copiano pure sui loro dispositivi esterni (12,5%), prediligendo video e foto di contenuti intimi o di natura sessuale. Tra le persone che hanno sperimentato quanto possano essere devastanti le conseguenze causate da un tecnico che va curiosare tra i contenuti di un pc lasciato all’assistenza, ha suscitato scalpore la vicenda di Hunter Biden, figlio dell’attuale presidente degli Stati Uniti, che aveva consegnato il suo laptop ad un negozio di computer del Delaware, il cui titolare aveva furbescamente approfittato dell’occasione per fare un dispetto di cattivo gusto a Biden Jr facendosi una copia di tutti i suoi file, compresi documenti con i numeri di conto sugli estratti conti bancari, i numeri di carta di credito e di
Il 74% dei data breach sono causati dall’errore umano
Nel 2022 gli attacchi informatici hanno continuato ad aumentare, con danni sempre più ingenti per le aziende colpite. È quanto emerso dall’ultima edizione del “Data Breach Investigation Report (DBIR 2023)” condotto da Verizon Business che ha analizzato 16.312 incidenti e 5.199 violazioni. Dallo studio sono emersi alcuni dati interessanti circa le modalità di attacco più utilizzate dai cyber criminali. Innanzitutto, il 97% degli attacchi informatici è determinato da motivi economici, con i ransomware che rimangono uno degli strumenti più comuni tra i cyber criminali. Il valore economico medio degli incidenti imputabili ai ransomware è più che raddoppiato negli ultimi due anni arrivando a 26.000 dollari. Nell’ultimo biennio il numero di attacchi ransomware è stato superiore rispetto a quello dei cinque anni precedenti messi insieme. Soltanto nel 2023, gli attacchi ransomware hanno rappresentato quasi un quarto di tutte le violazioni prese in esame. Anche il fattore umano si conferma la principale causa di
Prenotazioni online: e-book e video tutorial con 10 consigli per vacanze senza brutte sorprese
Oltre la metà dei vacanzieri cerca offerte su internet, ma il 30% di essi è vittima di una truffa online. La nuova guida con i consigli di Federprivacy per prenotare viaggi e alloggi in modo sicuro. Bernardi: “Su internet non ci sono solo gli hacker, e l’inganno può assumere forme subdole con dark pattern e tranelli mirati a farci spendere più del dovuto”. Uno studio della Carnegie Mellon University dimostra che le offerte mirate sono più care del 10% rispetto alle normali ricerche online. Un video tutorial e un e-book per aiutare gli utenti a proteggere la propria privacy e riconoscere le insidie quando devono prenotare le vacanze Firenze, 19 giugno 2023 - Nonostante l’inflazione e l’aumento del costo della vita le persone non vogliono rinunciare a godersi le ferie, e il 56% dei vacanzieri va a cercare su internet l’offerta giusta per risparmiare, ma uno su tre (30%) subisce una truffa