Uncategorized

Tre aziende sanitarie del Friuli Venezia Giulia sono state sanzionate per avere raccolto e utilizzato dati di alcuni assistiti per classificare gli stessi in specifiche categorie di rischio di sviluppare o meno complicanze in seguito a infezione da COVID-19.
Secondo le valutazioni dell’Autorità, il trattamento in questione (profilazione dell’utente del servizio sanitario con un trattamento automatizzato dei dati personali volto ad analizzare e prevedere l’evoluzione della situazione sanitaria e la correlazione con il rischio di infezione da COVID-19) è stato effettuato senza seguire i requisiti del Reg. UE 2016/679 e dell’art. 2-sexies del Codice Privacy. In particolare, il trattamento non è stato effettuato sotto una adeguata base giuridica e gli interessati non erano stati informati sulle caratteristiche dei trattamenti, che non potevano essere ricompresi tra quelli “necessari” alla cura del paziente (legittimati dall’art. 9(2)(h) del GDPR). Il Garante rileva poi come il trattamento in questione si sarebbe dovuto porre in essere dopo una valutazione di impatto (art. 35 del GDPR), poiché riguardava “dati sensibili o dati aventi carattere altamente personale” relativi ad “interessati vulnerabili” e perché, essendo gli interessati oltre 17.000, si doveva considerare trattamento su “larga scala”, tutti fattori rilevanti previsti dalle Linee Guida WP248 del 4 aprile 2017 in materia di valutazione di impatto. I provvedimenti (doc web 9844989, doc web 9845156 doc web 9845312), sono interessanti in quanto chiariscono alcuni aspetti in un settore e in un ambito normativo complessi, specie considerando le regole emergenziali intervenute dall’inizio della pandemia, richiamando i provvedimenti del Garante emanati nel frattempo e alcuni pareri rilevanti, in particolare il parere sul disegno di legge della provincia di Trento dell’8 maggio 2020 (doc web 9344635), più volte richiamato nei provvedimenti sanzionatori.

(fonte: newsletter del Garante del 24 gennaio 2023)

Può bastare una segnalazione per incorrere in sanzioni “privacy” (o, meglio, sanzioni per trattamenti di dati personali non legittimi).

Proprio a seguito della segnalazione di un privato cittadino, il gestore di un’attività commerciale che aveva installato videocamere di sorveglianza senza fornire le informazioni agli interessati (in violazione degli artt. 5(1)(a) e 13 del GDPR) inquadrando anche aree di pubblico passaggio (in violazione del principio di minimizzazione di cui all’art. 5(1)(c) del GDPR), si è visto comminare una sanzione di 2.000 euro dal Garante per la protezione dei dati personali. L’Autoritò ha tenuto conto delle negligenze in fase di installazione (il sistema tecnicamente permetteva l’impostazione di aree “privacy” per le riprese), della scarsa collaborazione del Titolare del trattamento (che non ha inviato alcuna spiegazione all’Autorità) e, come fattore attenuante, dell’assenza di precedenti violazioni nonché del fatturato aziendale.

(fonte: Garante per la protezione dei dati personali)

L’autorità spagnola AEPD ha recentemente sanzionato due persone fisiche, nel primo caso per avere pubblicato e mantenuto tre siti internet che non rilevavano il consenso degli utenti per l’installazione di cookie di tracciamento nel loro dispositivo né fornivano le informazioni su chi fosse il titolare del trattamento (in violazione dell’art. 6 e dell’art. 13 del GDPR), nel secondo caso per avere installato una videocamera di sorveglianza all’interno della propria auto che, una volta posteggiata nel garage condominiale, inquadrava parti comuni (in violazione dell’art. 5 del GPDR).

Questi episodi ricordano come anche le persone fisiche possono effettuare trattamenti di dati personali che ricadono nell’ambito di applicazione del GDPR, nel qual caso devono seguire gli obblighi previsti per qualsiasi titolare del trattamento.

(fonte: AEPD Link 1, Link 2)