GARANTE SPAGNOLO PUBBLICA VADEMECUM PER MINORI SU WEB
L’utilizzo troppo prolungato della rete e degli smartphone nell’arco della giornata da parte di minori sta destando preoccupazione negli adulti e nelle Autorità privacy. Il Garante spagnolo, detto Autorità per la protezione dei dati e l’associazione spagnola di pediatrica hanno presentato una campagna chiamata “Cambia el plan”. Secondo i consigli impartiti, i dispositivi non sono adatti ai minori di 2 anni; dai 3 ai 5 anni andrebbero usati al massimo un’ora al giorno e due ore per i bambini dai 5 anni in su. La campagna suggerisce anche agli adulti di spegnere i dispositivi quando non sono utilizzati e non tenere il cellulare a tavola mentre si mangia. Insomma anche gli adulti sono invitati a cambiare stili di vita.
SI MOLTIPLICANO GLI EPISODI DI HACHERAGGI
Una banda di cybercriminali ha venduto su Onion dati sanitari rubati a due ospedali trentini chiedendo il pagamento in bitcoin: 10 monete digitali pari a 350 mila euro. L’attacco hacker è avvenuto nel mese di ottobre e ha colpito gli ospedali di Borgo Trento e Borgo Roma. I dati venduti riguardavano le analisi fatte in diversi laboratori cittadini, non solo quelli ospedalieri, in particolare c’erano analisi genetiche, che fanno gola alle cause farmaceutiche e agli istituti di ricerca. In realtà i delinquenti sono riusciti a rubare solo una piccola parte della memoria: hanno sottratto “solo” 612 gigabyte contro 29 terabyte totali. In un primo tempo avevano sottratto i dati e chiedo un riscatto. Ma l’ospedale si era rifiutato di pagare il riscatto. Le autorità stanno indagando. Un altro hacheraggio è stato compiuto ai danni dell’associazione Federprivacy, che raduna i profesionisti della privacy, catturando i dati di contatto dei 2.500 iscritti e dei circa 26 mila utenti del sito. Il presidente dell’associazione ha fatto una comunicazione pubblica e tutti i soci sono stati contattati con mail personali, come previsto dalla normativa. Il furto di dati in questo caso carpisce dati professionali (noti per altro in rete), ma per l’associazione è un forte danno reputazionale.
AUTHORITY PRIVACY CROATA MULTA AZIENDA CREDITI PER 5,4 MILIONI
Il Garante croato ha ricevuto una segnalazione anonima sul cattivo comportamento di un’agenzia di recupero dei crediti che faceva trattamenti non autorizzati. Chi ha fatto la segnalazione anonima ha mandato anche una chiavetta Usb con dentro oltre 180 mila dati di persone fisiche con nome, cognome, data di nascita, numeri di identificazione. Tra questi c’erano anche quasi 300 minorenni. In sostanza l’azienda, Eos Matrix, aveva acquisito con dei contratti di cessione i crediti di un tot di persone. Dall’inchiesta è emerso che la società trattava anche dati di persone che non avevano alcun debito, quindi senza alcuna base legale. Per di più tra i dati figuravano anche quelli sanitari (particolari) addirittura con esami medici e referti. Per quasi 50 mila soggetti la società è anche ricorsa a registrazioni di telefonate non autorizzate. Insomma l’Authority ha inflitto una multa di 5 milioni e 470 mila euro per la violazione di diversi articoli del GDPR (in particolare 5, 6, 9, 12, 13,e 32).
SANZIONATA ASL: TUTTI VEDEVANO MALATTIA COLLEGA
Durante l’epidemia Covid è successo anche che i dati sulla positività o meno di un collega fossero visibili all’interno della stessa Asl: lo ha scoperto un’infermiera che ha presentato reclamo al Garante privacy. La questione ha comportato una multa di 40 mila euro. Non è servita la giustificazione dell’Asl che i dati sulla salute dei dipendenti dovevano essere visibili a tutti per organizzare i turni di lavoro. Il Garante ha rimarcato come il dato sanitario del Fascicolo sanitario debba essere visibile solo al medico che ha in cura il paziente o al personale che ha in cura la persona in caso di ricovero. Le esigenze amministrative non sono contemplate. L’azienda sanitaria deve ora riorganizzare il sistema informatico con accessi scaglionati e limiti di accesso al Fascicolo sanitario e adottare alert nel caso di anomalie e procedure non corrette di accesso.
GARANTE DICE SI’ A CERTIFICATI ANAGRAFICI ALLE POSTE
Gli abitanti di cittadine e paesi sotto i 15 mila abitanti dove c’è un ufficio postale potranno ritirare i certificati anagrafici anche alle Poste. La novità è prevista da un decreto chiamato “Polis” varato anche con la collaborazione del Ministero dell’interno. Il progetto ha avuto l’approvazione del Garante Privacy. Saranno addetti all’estrazione dei documenti solo i dipendenti delle Poste, accederanno con codici e password di identificazione personali e i dati relativi ai log-in verranno tenuti per 36 mesi. Il processo è stato oggetto anche di una Dpia o Valutazione d’impatto, in quanto si tratta di un trattamento su larga scala, che coinvolge milioni di cittadini. I dati anagrafici a cui le Poste attingeranno sono quelli dell’Anagrafe nazionale della popolazione residente (ANPR).
I DATI SANITARI E PERSONALI SONO RISERVATI
Un’osteopata ha messo dati sanitari di un suo paziente in una tesi a conclusione di un corso di formazione cancellando malamente alcune anagrafica e ha ricevuto l’ammonimento del Garante. Ricordiamo come i medici e gli avvocati abbiano il dovere del segreto professionale, ma tutti gli Incaricati sono tenuti alla riservatezza dei dati. Quindi la divulgazione di dati personali comuni o particolari è sempre vietata. In questo caso era possibile risalire al nome e cognome e associare le informazioni anagrafica alla condizione fisica di quella persona. Interessante sapere che il Garante ha ricordato che la cancellazione manuale di dati non costituisce una vera e propria anonimizzazione. Infatti la paziente, che non era stata informata della volontà della dottoressa di utilizzare i dati ai fini di ricerca, ha deciso di fare reclamo al Garante ritenendo di poter essere riconosciuta dalla documentazione della tesi, Come infatti ha accertato il Garante. La ricerca non è stata pubblicata e quindi i dati non sono stati resi pubblici. Da qui il Garante ha scelto per l’ammonizione anziché la sanzione. Ma l’episodio rimarca l’importanza dell’attenzione alle informative in cui vanno riportate tutte le finalità (la finalità di ricerca non era scritta); l’importanza del consenso; l’anonimizzazione dei dati in modo da non poter risalire in nessun modo alla persona fisica.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020), ‘Privacy in progress’ (editore FrancoAngeli, giugno 2021) e ‘La Privacy dei dati digitali’ (FrancoAngeli editore, 2023), che da ottobre 2023 viene regalato come strenna ai nuovi iscritti di Federprivacy. Stiamo lavorando a un nuovo volume sempre per FrancoAngeli col DPO Ferdinando Mainardi.