A RISCHIO GLI ACCORDI USA-UE SULLA PROTEZIONE DATI
E’ pieno di incognite il rapporto tra Unione europea e USA a proposito di protezione e trattamento dei dati personali. Dopo le sentenze Schrems I e II e il ristabilirsi degli accordi grazie a una maggior adesione degli Usa al GDPR, ora il neo-presidente Donald Trump ha deciso di limitare i poteri dell’Authority USA che si occupa di privacy e grazie alla quale ci si aspettava anche la nascita di un Regolamento privacy federale, oltre a quelli emanati da alcuni stati come la California. Trump ha infatti licenziato in tronco tre membri democratici del Privacy and Civil Liberties Oversight Board (detto PCLOB). In totale i membri erano 4. PCLOB funge proprio come Garante di controllo sulla privacy, ma anche controlla anche gli accordi transatlantici Usa-UE relativi alla protezione di dati. L’Authority indipendente è stata fondata nel 2004 per volere del Congresso. Quindi per ora rimane solo un membro, Bet A. Williams. Autorevoli media USA pensano che Trump voglia eliminare completamente l’Authority e vanificare il suo ruolo. Certo rimarranno il consenso, le clausole contrattuali standard, i codici di condotta e le certificazioni, ma il quadro si complica. Di mezzo ci andranno per primi i server dei dati di cittadini UE stoccati negli Usa.
PRECISAZIONI SU NIS2 DI ACN
L’Agenzia Nazionale per la Cybersicurezza (ACN) ha aggiunto delle spiegazioni sulle aziende interessate dalla NIS2 dicendo che nel novero rientrano anche le RSA. Nelle Faq, inserite nella sezione Comunicazioni, nella parte sul settore sanitario, troviamo alla A1.5.2 la domanda “Le RSA rientrano nell’ambito di applicazione della nuova disciplina NIS?”, si legge la seguente risposta: “Con riferimento alle RSA, tali organizzazioni, qualora superino i massimali per le piccole imprese definiti dalla Raccomandazione 2003/361, rientrano nell’ambito di applicazione del decreto NIS in quanto, anche in forma residuale, prestano assistenza sanitaria”. Precisato quindi che l’azienda deve avere almeno 50 dipendenti e insieme un fatturato/bilancio annuo di almeno 10 milioni di euro, a nostro avviso non è chiaro dalla risposta fornita da ACN se si considera la singola RSA o gruppi/cooperative di RSA. Ricordiamo che tutte le ASL sono interessate dalla NIS2 e hanno obbligo di iscrizione al registro delle imprese NIS. Ma spesso l’Asl di turno stipula contratti con la singola RSA, non con il gruppo/cooperativa di cui l’RSA fa parte. Quindi si rischia decada il principio della grandezza dell’impresa. Per concludere insomma ci sembra che manchino chiarimenti. Consigliamo la lettura attenta delle Faq www.acn,gov.it/portale/faq/nis che vengono aggiornate e ampliate via via.
LA TUA PRIVACY VALE PIU’ DI UN LIKE: L’EFFICACE MESSAGGIO DEL GPDP
Con la solita capacità di comunicazione a cui ci ha abituati, il Garante Privacy italiano ha lanciato una nuova campagna di spot, questa volta incentrati sui social. Lo slogan dello spot è “La tua privacy vale più di un like” ed è in onda su radio e tv nazionali da metà gennaio. Questa volta l’ambiente scelto è quello scolastico e si vede e si sente un professore che mette in guardia i genitori dalla condivisione di contenuti che riguardi la famiglia e i minorenni, che può rivelarsi pericolosa. Parliamo di quello che in inglese viene chiamato Sharenting, un acronimo che indica la condivisione insieme a parenting (prendersi cura dei figli). “Mamme papà tutti i cellulari sui banchi”, esordisce l’attore Luca Angeletti nei panni del professore davanti a una ‘scolaresca’ fatta di genitori. Pubblicando foto e video di mio figlio “gli impongo un’immagine pubblica che decido io”, dice sempre il finto prof. E le immagini possono finire su siti pedopornografici.
PRIMA COPIA CARTELLA CLINICA DEVE ESSERE GRATUITA
Una sentenza della Cassazione (n. 3045 del 6 febbraio 2025) entra nella materia privacy dicendo che è lecito per il datore di lavoro riprendere il lavoratore che ruba. In sostanza vengono considerati legittimi i controlli a difesa del patrimonio aziendale. Tali controlli, secondo la Cassazione, devono essere difensivi, cioè messi in atto quando c’è il fondato sospetto che il dipendente rubi. In pratica secondo la Cassazione il controllo difensivo non va contro l’art. 4 della Legge 20 maggio 1970, detta Statuto dei lavoratori, che prevede il divieto di controllo sul lavoratore, tanto più con riprese video. Nel caso specifico le telecamere si trovano in una zona esterna ai locali aziendali, sul piazzale e non dentro l’azienda, quindi la Cassazione ritiene che le telecamere erano adibite alla difesa del patrimonio aziendale.
FORNIRE LUCE E GAS SANZIONATO CON OLTRE 600 MILA EURO
E’ stata sanzionata l’azienda Illumia Spa per trattamento illecito di dati. Come spesso avviene tutto inizia da un pugno di segnalazioni. L’interessato era sicuro di non aver fornito alcun consenso a Illumia per marketing o profilazione. Invece, in uno dei casi, l’operatore di Illumia era informato addirittura del fatto che la famiglia aveva fatto richiesta di passaggio a un nuovo fornitore (non Illumia) e l’operatore di Illumia avrebbe riferito alla persona che detto contrato non era andato a buon fine. Il Garante ha riscontrato diverse violazioni della privacy rispetto all’operato delle Agenzie fornitrici, il fatto che le telefonate non avvenivano su una base giuridica (il consenso) e che spesso le stesse Agenzie non offrivano misure tecniche e organizzative idonee e sufficienti per proteggere i dati. Illumia con sede bolognese è stata perciò multata per 678.897 euro, anche se le violazioni avrebbero comportato un range del 20 per cento del fatturato mondiale.
ANAC SU GARE D’APPALTO
L’Anac, l’Autorià nazionale anticorruzione, con una deliberazione del 30 gennaio 2025 ha dato delucidazioni sul trattamento dei dati di chi partecipa a gare d’appalto, in base anche al nuovo Codice degi appalti. I dati personali sono protetti e il Responsabile unico del procedimento deve evitarne la pubblicazione. Le amministrazioni pubbliche devono fare attenzione alla selezione dei dati, proteggere quelli particolari (sanitari, genetici, giudiziari) e gli operatori possono accedere a dati oscurati solo se dimostrano di avere un interesse concreto, per elencare alcuni aspetti. Dopo la fuoriuscita di dati personali in tanti concorsi pubblici si pongono dei rimedi.
GIORNATA EUROPEA PER LA PROTEZIONE DEI DATI A ROMA
In occasione della Giornata europea per la protezione dei dati personali il 29 gennaio, il Collegio del Garante ha partecipato a un convegno presso la Camera dei deputati, incentrato sull’Intelligenza artificiale (IA), col titolo “Le sfide dell’IA, la protezione dei dati nell’era del cambiamento”. Moderato dal giornalista Bruno Vespa l’incontro ha fatto emergere come la protezione dei dati sia alla base dell’utilizzo dell’IA in tanti campi, nell’industria come nella ricerca, nel lavoro come nella sanità, nel campo della sicurezza come in materia fiscale.
Il Notiziario, coperto da copyright e creato senza il ricorso all’Intelligenza artificiale, è stato realizzato dall’Avv. Gianluca Amarù, l’Avv. Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Amarù, Fava e Fossi hanno pubblicato Manuale di accoglienza enti e autorità (Liberodiscrivere, 2019) , Howto – Come scrivere i documenti privacy (Liberodiscrivere 2020), Privacy in progress (editore FrancoAngeli, giugno 2021) e La Privacy dei dati digitali (FrancoAngeli editore, 2023), La Privacy del dato sanitario (FrancoAngeli, 2024), a firma di Amarù, Fava, Fossi e del DPO Ferdinando Mainardi. E’ in stampa per Mondadori un instant book sulla privacy destinato al largo pubblico che Amarù, Fava, Fossi hanno scritto col presidente di Federprivacy Nicola Bernardi con prefazione del membro del Garante Guido Scorza. Stiamo ultimando un libro sulla NIS2.
