IL GESTORE DEL SITO INTERNET AZIENDALE VA NOMINATO RESPONSABILE
Il Garante ha ribadito che chi gestisce il sito aziendale, anche di un’amministrazione pubblica, ed è un soggetto esterno, deve essere nominato Responsabile del trattamento dei dati e ricevere quindi espresse direttive dal Titolare. Il caso si è posto a proposito del Comune laziale di Nepi, che non aveva nominato Responsabile l’azienda Srl che per diverso tempo ha gestito il suo sito internet. La questione è emersa nel momento in cui il gestore del sito inopinatamente ha pubblicato nomi e cognomi della graduatoria di partecipanti a un concorso pubblico e una delle partecipanti ha presentato reclamo al Garante. Come molti casi che raccontiamo nel Notiziario, basta il reclamo di una persona per attivare l’inchiesta del Garante Privacy. L’azienda dei computer ha risposto al Garante dicendo che aveva fornito diversi servizi al Comune senza trattare dati personali, ma fornendo piattaforme software. Il Garante ha invece accertato che l’amministrazione del sito, di cui era stata incaricata l’azienda da parte del Comune, includeva il trattamento di dati personali degli utenti da parte della ditta e che quindi tale trattamento avveniva in maniera illecita. Nel provvedimento l’Autorità ha multato l’azienda per 12 mila euro, considerando positivamente la collaborazione all’inchiesta.
VADEMECUM DEL GARANTE SULL’OBLIO ONCOLOGICO
L’Authority privacy italiana ha pubblicato un Vademecum sull’oblio oncologico voluto dalla Legge 7 dicembre 2023, n. 193, che interessa anche le strutture sanitarie pubbliche e private che abbiano avuto in cura il paziente oncologico. In sostanza le persone guarite non devono presentare informazioni sulla patologia pregressa quando vogliono avere accesso a servizi bancari, finanziari, di investimento e assicurativi e non sono tenute a dare informazioni specifiche quando si richiede loro lo stato di salute. Il Garante specifica che il Certificato di oblio può essere richiesto ad una struttura sanitaria pubblica o privata accreditata, ad un medico dipendente del Servizio sanitario nazionale nella disciplina attinente alla patologia oncologica di cui si chiede l’oblio, al medico di medicina generale oppure al pediatra di libera scelta; la richiesta va inoltrata dieci anni dopo l’ultimo trattamento farmacologico, senza recidive; il medico o struttura è tenuto alla conservazione del certificato per dieci anni. Da ricordare che il certificato non riporta la patologia ma solo i dati dell’identità del paziente. Il datore di lavoro o l’assicurazione non possono quindi chiedere informazioni ulteriori e in caso di visite mediche, il datore di lavoro può chiedere la documentazione relativa alle visite mediche effettuate, ma non specifiche sulla patologia eventuale per la quale le visite sono state fatte. Per maggior info: https://www.gpdp.it/web/guest/temi/sanita-e-ricerca-scientifica/oblio-oncologico
CLEARVIEW AI MULTATA PER OLTRE 30 MILIONI DI EURO
Il Garante olandese ha multato l’azienda statunitense Clearview AI che ha raccolto illegalmente una banca dati mondiale con dati biometrici pescati in rete. La multa ammonta a 30,5 milioni di euro. In pratica l’azienda ha setacciato e continua a computare la rete facendo incetta di foto e dati biometrici per costruire illegalmente una banca dati. Già il Regno Unito, Australia, Francia e Italia hanno sanzionato la ditta e chiesto la cancellazione dei dati inerenti i cittadini di questi paesi. L’azienda però risponde che non avendo sede in paesi UE non è tenuta al rispetto del GDPR. Ovviamente non è così: chi tratta dati di cittadini UE, anche fuori dalla UE, è tenuto al rispetto del Regolamento UE 679/2016 e collezionare foto e dati biometrici per rivenderli non è lecito.
UBER SANZIONATA PER 290 MILIONI DI EURO
Il Garante olandese ha sanzionato anche Uber per aver inviato illecitamente i dati di autisti europei negli Stati Uniti. Geolocalizzazioni, fotografie, prove dei pagamenti, dati sanitari e in qualche caso anche penali sono stati trasferiti senza alcun rispetto del GDPR e autorizzazione degli interessati. Il trasferimento è avvenuto per oltre due anni, in barba al blocco del Privact Shield disposto dalla Corte di giustizia europea. La sanzione è partita a causa delle proteste di oltre 170 autisti francesi che avevano protestato presso la loro Authority detta CNIL. La multa è stata comminata dal Garante olandese in quanto la sede UE di Uber è nei Paesi Basis. E’ la terza volta che Uber viene punita dall’Autorità olandese.
STATI POCO DEMOCRATICI INFILTRANO AZIENDE
Un recente attacco informatico diretto non ai paesi sede di aziende, ma agli stessi dipendenti residenti anche in altri paesi, ha mosso gli investigatori per la mole dell’attacco senza precedenti, visto che in pochi giorni l’attacco è stato in grado di inviare 20 mila messaggi verso 70 aziende di portata globale attraverso il malware Voldemort. La forza dell’attacco e il fatto che le backdoor erano poi in grado di prendere il controllo degli apparecchi, ha portato a pensaer che dietro ci deve essere uno stato. Una recente ricerca, Threat Hunting Report 2024 di CrowdStrike, ha rilevato che paesi come la Corea del Nord hanno infiltrato almeno 100 grandi aziende in giro per il mondo. Molti attacchi partono da ambienti cloud. Il consiglio alle aziende è di avere strutture di difesa proattive e dotarsi delle tecnologie più avanzate. La formazione continua e la preparazione dei dipendenti può servire per prevenire le intrusioni informatiche.
FIRMATO DA DIVERSI PAESI UNA CONVENZIONE SU IA PROMOSSA DALLA UE
Andorra, Georgia, Islanda, Norvegia, Repubblica di Moldova, San Marino, Regno Unito, Stati Uniti d’America e Unione Europea, per un totale di 46 paesi, hanno firmato a Vilnius ai primi di settembre una Convenzione sull’uso dell’Intelligenza artificiale (IA) proposta dalla Commissione Europea. La Convenzione parla di rispetto dei diritti della persona, democrazia e rispetto della dignità umana. Ovviamente fa riferimento all’European IA Act appena approvato che tutela le persone vulnerabili e combatte le discriminazioni, vietando in casi di forte rischio il ricorso all’IA.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Amarù, Fava e Fossi hanno pubblicato ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020), ‘Privacy in progress’ (editore FrancoAngeli, giugno 2021) e ‘La Privacy dei dati digitali’ (FrancoAngeli editore, 2023). E’ nelle librerie e online il nostro ultimo volume “La Privacy del dato sanitario” per FrancoAngeli, a firma di Amarù, Fava, Fossi e del DPO Ferdinando Mainardi.