30 MILA EURO A AZIENDA SANITARIA DI ENNA PER RILEVAZIONE IMPRONTE
Il Garante ha sanzionato con 30 mila euro l’Azienda sanitaria provinciale (Asp) di Enna per aver acquisito le impronte digitali di oltre 2 mila dipendenti in forma crittografata sul badge di ogni lavoratore per l’utilizzo di un sistema di rilevazione delle presenze. E’ noto che per installare questo tipo di sistemi è necessaria una base normativa proporzionata all’obiettivo perseguito e che siano fissate misure appropriate e specifiche per tutelare i diritti degli interessati. L’azienda ha risposto che la rilevazione veniva fatta solo a fini di timbratura del cartellino. Ma la legge che permetterebbe l’uso di telecamere e dispositivi biometrici per il controllo dell’assenteismo negli organismi pubblici (art. 2 della legge 19 giugno 2019, n. 56) non ha concluso il suo iter normativo. L’Asl è ora costretta a cancellare dei dati biometrici nei badge.
SPID EUROPEO PER MINORENNI IN RETE
La Commissione europeo ha allo studio un sistema di identificazione per non permettere ai minorenni di accedere alle piattaforme social senza il consenso e la consapevolezza dei genitori. La questione si è posta dopo la morte della bambina napoletana di 10 anni incitata a una sfida su Tik Tok. Per l’Italia l’ex ministro per l’innovazione tecnologica Paola Pisano avevano ipotizzato che il genitore possa produrre uno spid anonimo per il figlio minorenne da usare nei processi di autenticazione sui social. Si ricorda che la legge italiana sulla privacy n. 101/2018 prevede la possibilità di dare il consenso al trattamento dei propri dati personali per i maggiori di 14 anni. Purtroppo questo si è tradotto tout court in un accesso ai social. Per i minori di tale età il consenso dovrebbe essere eseguito dai genitori. Il Garante privacy italiano ha realizzato con Telefono Azzurro una campagna di sensibilizzazione rivolta ai genitori “Se non ha l’età, i social possono attendere”.
IL SUPERVISOR DEL BOARD EUROPEO: NORMARE E-COMMERCE E WEB
Il supervisor dell’EDPB, il Bord europeo, Wojciech Wiewiórowski in carica per 5 anni dal 2019 (chiamato per acronico EDPS), ha pubblicato due Opinioni: una sul Digital Services Act (il documento in elaborazione della Commissione europea) che regolerà i Big del Web e un’altra sul Digital Markets Act, cioè il regolamento sull’e-commerce e le transazioni commerciali online, anche questo in fase di elaborazione. Wiewiórowski ha detto che “la competizione, la protezione dei consumatori e le norme sulla protezione dei dati personali sono tre aree di intervento strettamente collegate tra di loro. Quindi la relazione tra i tre ambiti si deve giocare sulla complementarità non sulla competizione”. Le Opinioni consigliano alla Commissione di vietare marketing e pubblicità basate sul tracciamento invasivo, di intervenire sulla microprofilazione e su sistemi di algoritmi che creano disinformazione, restringere comunque la possibilità per i siti di raccogliere categorie di dati personali estranee ai servizi offerti e prevedere sanzioni in caso di violazione in base alla natura, gravità e durata. In futuro potremmo restringere ulteriormente i dati personali che concediamo.
VIA LIBERA COMMISSIONE UE A PARLAMENTO UE PER REGOLE E-PRIVACY
L’11 febbraio la Commissione Ue ha dato il via libera per l’iter del testo finale sull’e-privacy, il Digital Services Act, che dovrà passare al vaglio del Parlamento Ue. Essendo nel semestre portoghese, sarà il Portogallo a occuparsi delle adempienze burocratiche. La norma sarà di integrazione al GDPR e abrogherà la direttiva Ce del 2002. Il regolamento riguarderà anche i metadati e il consenso ai cookie.
FACEBOOK HA UN COMITATO CHE COMMENTA RIMOZIONE CONTENUTI
Il 28 gennaio 2021 il Comitato per il controllo di Facebook ha espresso le prime sei decisioni sulla rimozione di contenuti, ma le sue decisioni non sono vincolanti per la piattaforma e non sono previste sanzioni. In sostanza il Comitato di nuova formazione decide in base a standard giuridici internazionale, non alle normative dei paesi coinvolti. Le sei decisioni riguardano aspetti diversi: dalla guerra tra azeri e armeni in Ngorno-Karabakh piuttosto che la pubblicazione di foto di donne che hanno subito l’asportazione del seno a causa di tumori, foto inizialmente rimosse da Fb in quanto viste come pornografiche e poi reintegrate. “Si tratta di un momento storico, di un primo tassello che va nella direzione di modificare in maniera radicale tanto la natura stessa della Rete quanto il rapporto tra piattaforme, da una parte, e istituzioni pubbliche statali o internazionali, dall’altra – ha commentato la vicepresidente del Garante privacy italiano, Ginevra Cerrina Feroni – È soprattutto un passaggio che interessa la (ri)definizione degli spazi di libertà degli utenti all’interno delle piattaforme”. Secondo Feroni si tratta ancora di “un surrogato” e servono interventi delle istituzioni nazionali e transnazionali.
NO IMPOSIZIONE VACCINO A DIPENDENTI O VACCINAZIONI IN AZIENDA
Il Garante italiano ha ribadito che le aziende al momento non possono obbligare tutti i dipendenti alla vaccinazione anti-Covid. La vaccinazione deve essere somministrata da un medico ed è il medico responsabile che gestisce anche i dati personali. Insomma la vaccinazione resta una libera scelta. Da notare tra l’altro che il Garante richiama l’attenzione su un’ordinanza di un Giudice del lavoro di Messina che ha ritenuto illegittima l’imposizione, a livello regionale, dell’obbligo vaccinale influenzale per gli operatori sanitari, “perché in violazione della riserva di legge (statale) in materia”. Per altri dettagli vi rimandiamo alle FAQ https://garanteprivacy.it/temi/coronavirus/faq#vaccini
SANZIONI A TRE STRUTTURE SANITARIE PER FUGA DATI
Diecimila euro a un ospedale toscano che ha spedito via posta una relazione medica con dettagli anche sulla vita sessuale di una coppia al paziente sbagliato; altri 10 mila euro di sanzione a un ospedale dell’Emilia-Romgna che ha scambiato cartelle cliniche dandole al paziente sbagliato e 50 mila euro a un’Asl emiliana che ha violato la volontà di una paziente di non rivelare i suoi dati sanitari a nessun parente comunicando invece al telefono a un parente lo stato di salute della persona ricoverata. Questi casi evidenziano come il settore sanitario sia incaricato del trattamento e della protezione di dati estremamente delicati, chiamati infatti “particolari” dal GDPR e quindi come la responsabilità di tutti gli incaricati al trattamento sia molto alta.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Privacy specialist, riuniti nell’acronimo A2F Privacy&Compliance. I tre con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno poi pubblicato Manuale di accoglienza enti e autorità (Liberodiscrivere, 2019) e Howto – Come scrivere i documenti privacy (Liberodiscrivere 2020) e stanno preparando un nuovo volume Privacy in progress (editore Franco Angeli), che sarà pubblicato nel 2021.