TITOLARE DEVE DARE RISCONTRO A RICHIESTE DEGLI INTERESSATI
Anche se ci sono delle cause di lavoro in corso, il Titolare deve sempre rispondere alle mail o alle lettere degli interessati che riguardano l’esercizio dei propri diritti (come rettifica, cancellazione, accesso ai dati, portabilità etc). Il Titolare è anche tenuto ad informare l’interessato della possibilità di ricorso presso l’Autorità privacy fornendo indirizzi e mail, specie in caso di diniego all’accesso. Il Garante italiano ha perciò multato per 100 mila euro Autostrade per l’Italia che non ha dato riscontro al quesito di 50 dipendenti relativo ai loro dati del TFR e delle buste paga. L’azienda aveva risposto che i dipendenti potevano controllare i dati dei pagamenti sull’intranet aziendale con le credenziali personali e che nell’informativa data ai dipendenti al momento dell’assunzione c’era tutto. Il Garante ha sottolineato nel provvedimento come il Titolare debba dare una risposta scritta anche in caso di diniego di accesso ai documenti – ad esempio per esercitare il diritto dell’azienda alla difesa – o altrimenti avrebbe dovuto fornire copia dei dati agli interessati. L’informativa iniziale comunque non sopperisce alla risposta agli interessati che è un atto dovuto da parte del Titolare. Anche Amazon Trasporti ha ricevuto una sanzione di 40 mila euro per non aver risposto a un ex-dipendente. Ricordiamo che secondo il GDPR il Titolare ha un mese (30 giorni) per rispondere alle richieste dell’interessato che gli ha fornito a suo tempo i propri dati personali. Il periodo può essere prorogato di un altro mese ma vanno spiegati i motivi per la proroga sempre all’interessato.
GARANTE PUBBLICA VADEMECUM SU APP CON DATI SANITARI
Molti di noi utilizzano app per misurare i passi, calcolare parametri medici o la frequenza cardio. In queste app finiscono un sacco di dati particolari sulle abitudini alimentari, lo sport, le malattie. Essendo dati relativi alla nostra salute sono dati particolari, di natura sensibile, in quanto possono essere molto interessanti per le aziende, a partire da quelle farmaceutiche. Per proteggere la privacy, il Garante italiano ha varato un vademecum https://garanteprivacy.it/fitness-tracker. Il primo consiglio è di leggere l’informativa connessa al dispositivo che sarà in rete e vedere quali e quanti dati raccoglie. Inoltre bisogna puntare alla minimizzazione dei dati, cioè autorizzare la raccolta dei dati indispensabili per il funzionamento ed evitare di dare quelli che non servono. E’ anche utile utilizzare uno pseudonimo invece del proprio nome e cognome. Conviene fare attenzione alla condivisione dei dati con altri dispositivi o app e se si usano delle funzioni social evitare di dare la propria geolocalizzazione. Password complesse ed identificazione a più fattori ci proteggono anche dal punto di vista della sicurezza. L’utilizzo di bluetooh e wifi mette sempre a repentaglio il nostro smartphone o dispositivo. Ogni tanto è consigliabile cancellare i dati e quanto ai minori è meglio evitare l’uso di questi dispositivi da parte di bambini.
AMMINISTRATORE CONDOMINIO SANZIONATO PER TELECAMERE
Il Garante ha sanzionato con mille euro un amministratore di condominio che ha installato delle telecamere all’interno dell’edificio senza informare e avere l’approvazione dell’assemblea dei condomini. Dall’ispezione dell’Authority è emerso che le due telecamere riprendono un parcheggio privato e parte della via pubblica. La delibera condominiale è presupposto della liceità dell’installazione dell’impianto di videosorveglianza. Il provvedimento dimostra la continua attenzione al tema della raccolta di dati audiovisivi. Di fatto chi entra in un’area video-sorvegliata deve essere avvertito prima con cartelli sintetici e trovare anche un’informativa estesa che includa ad esempio chi raccoglie e tratta i dati e per quanto tempo vengono conservati.
SOCIETA’ DI CORSI PER DOTTORI SANZIONATA CON 18 MILA EURO
I dati particolari, specie quelli sanitari, delle persone possono essere divulgati solo con espresso consenso dell’interessato, altrimenti sono sottoposti alla più stretta riservatezza. Questo avviene specialmente in ambito medico visto che i medici sono sottoposti anche al segreto professionale. Invece è successo che un’azienda che organizza corsi per medici, Custer srl., in un corso frequentato da psichiatri, ha inserito online la casistica, i referti e l’anamnesi di un giovane paziente poi deceduto. Il padre del ragazzo è ricorso al Garante. L’azienda si è difesa dicendo che era inconsapevole del fatto che uno dei dottori avesse caricato il materiale nel corso. La multa è relativa al fatto che l’azienda non ha posto in essere le necessarie sicurezze informatiche visto che chiunque conosceva l’url del corso poteva accedere ai dati del paziente e non è stata fatta una corretta anonimizzazione dei dati, tanto che la persona era riconoscibile. Quanto al fatto che il ragazzo fosse deceduto, il Garante precisa che la privacy va tutelata comunque (come da Provvedimento del 10 gennaio 2019, n. 2, doc. web n. 9084520 e 29 aprile 2021, n. 173, doc. web n. 9672313).
GOOGLE RISARCISCE 5 MILIARDI DI DOLLARI PER AVER SPIATI UTENTI
Credevano di navigare in incognito su Google, avendo cliccato la navigazione nascosta e invece è risultato che Google li spiava. Un tribunale della California ha costretto l’azienda a risarcire gli utenti per 5 miliardi di dollari. Gli avvocati delle parti offese avevano chiesto 5 mila dollari per ogni internauta in una causa collettiva. Ricordiamo che la California è uno dei pochi stati degli Stati Uniti ad avere da tempo un Regolamento sulla Privacy: https://www.oag.ca.gov/privacy/ccpa. Il California Consumer Privact Act, detto anche CCPA.
LE NUOVE LINEE GUIDA SULLA CONSERVAZIONE DELLE PASSWORD
Grazie al lavoro tra Garante e Acn (Agenzia per la cybersicurezza nazionale) partito un anno fa, sono state elaborate delle “Linee guida Funzioni crittografiche – Conservazione password”. Si tratta di un documento estremamente tecnico e rivolto agli informatici e punta alla tutela degli archivi di password oltre che alla creazione di identificazione multipla, fattori che possono difendere un’ente e un’azienda da attacchi cyber o dalla sottrazione di dati. Le banche dati sono il cuore delle aziende, ottenere le password è come avere le chiavi per entrare nell’edificio. Come dicevano è un documento scientifico che fornisce anche una discreta bibliografia. Ad esempio si legge che “l’uso di un salt risulta una condizione obbligatoria per qualsiasi algoritmo di password” e che “hashing scrypt e Argon2id risultano gli algoritmi più robusti”. ile:///C:/Users/alfa/Desktop/ACN-GPDP Linee Guida Conservazione Password.pdf.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020), ‘Privacy in progress’ (editore FrancoAngeli, giugno 2021) e ‘La Privacy dei dati digitali’ (FrancoAngeli editore, 2023). Stiamo lavorando a un nuovo volume sui dati relativi alla salute che sarà pubblicato a primavera 2024, sempre per FrancoAngeli, a firma di Amarù, Fava, Fossi e del DPO Ferdinando Mainardi.