IL DOSSIER SANITARIO PUO’ ESSERE CONSULTATO SOLO COL CONSENSO
L’azienda ospedaliero-universitaria di Careggi, nel Comune di Firenze, è stata sanzionata dal Garante Privacy con 80 mila euro per non aver rispettato le norme relative al dossier sanitario. Già in Linee Guida del 2015 il Garante aveva precisato che devono avere accesso al dossier solo i medici che hanno in cura il paziente e che il dossier può essere alimentato solo col consenso dell’interessato. Secondo le ispezioni avvenute nella sede di Careggi è invece emerso che tutto il personale medico poteva accedere ai dossier sanitari dei pazienti in generale, quindi l’azienda non aveva misure di sicurezza informatiche come misure di profilazione degli accessi, utilizzo di alert e tracciamento delle operazioni effettuate sugli applicativi, i cosidetti file di log. Per chi fosse interessato le Linee Guida del 2015 sono le “Linee guida in materia di Dossier sanitario – 4 giugno 2015” (Provvedimento del 4.6.2015, pubblicato in G.U. 164 del 17 luglio 2015, consultabile su www.gpdp.it doc web n. 4084632). Ricordiamo che secondo il GDPR e le Linee Guida il paziente può decidere quali informazioni fornire al medico che lo prende in cura e non è tenuto ad alimentare il dossier sanitario con ogni aspetto medico o di cura che riguardi la sua vita.
COMUNI: ATTENZIONE AI DATI PERSONALI DEI CITTADINI
Le istanze al Comune di Langhirano (provincia di Parma) di quasi 1.500 persone sono rimaste in chiaro per mesi e pubblicate sul sito online fino ad aprile 2024. Il Comune ha ammesso l’errore e di fatto ha collaborato alle indagini, e quindi ha ricevuto una multa limitata a 12 mila euro. In sostanza sono state per molto tempo leggibili per chiunque nomi, cognomi, intestatari di immobili e di pratiche edilizie, insomma tutti i dati contenuti in 1.455 istanze presentate all’ente tra il 2017 e il 2023. Siccome il Comune rivendicava obblighi di trasparenza, il Garante nel suo provvedimento ha citato anche Anac che dice espressamente che la pubblicazione della richiesta di accesso deve essere pubblicata “oscurando i dati personali eventualmente presenti”, e una circolare del Ministero della pubblica amminstrazione. Insomma posto che il Comune ha veramente obblighi di trasparenza, è evidente che i documenti non possono essere copiati e incollati nella bacheca virtuale ma devono essere emendati dei dati personali e di ogni dettaglio che possa portare all’identificazione della persona.
EDPB SCRIVE LINEE GUIDA SU DSA E GDPR
Il board europeo per la protezione dei dati (EDPB) ha adottato un documento su come far dialogare la Legge sui servizi digitali (DSA) e il GDPR 2016. DSA è nato per garantire la massima protezione dei dati e i diritti fondamentali sullo spazio digitale e ha regolamentato le grandi piattaforme. Si applica ai servizi di intermediazione online, come i motori di ricerca e le piattaforme. Le Linee Guida intendono sottolineare l’importanza di sistemi di notifica e azione che aiutano le persone o le entità a segnalare contenuti illegali; implementano sistemi di raccomandazione utilizzati dalle piattaforme online per presentare automaticamente contenuti specifici agli utenti della piattaforma con un determinato ordine o rilievo relativo. Contengono inoltre disposizioni volte a garantire un elevato livello di tutela della vita privata, sicurezza e protezione dei minori e vietano la pubblicità basata sulla profilazione dell’utente. Inoltre si insiste sulla trasparenza della pubblicità da parte delle piattaforme online e il divieto di pubblicità basata sulla profilazione che utilizzi categorie particolari di dati. Il presidente dell’EDPB Anu Talus ha commentato che “questi orientamenti segnano un passo significativo verso la garanzia di un corpus di norme digitali dell’UE coerente ed efficace e contribuiranno a difendere i diritti e le libertà fondamentali delle persone”. La palla come sempre passa ora a governi e Authority che possono decidere se emanare altri provvedimenti in tal senso.
NUOVO PIANO ISPETTIVO DEL GARANTE PER 2025
Ad agosto il Garante ha comunicato il piano di attività ispettive per il secondo semestre 2025. Il piano prevede che le ispezioni si concentrino sui data breach delle banche, il trattamento dei dati in ambito assicurativo, la gestione delle segnalazioni whistleblowing, il trasporto pubblico locale, il ricorso a dati biometrici per l’identificazione dei clienti nel settore bancario, i dati trattati attraverso il dossier sanitario e i dati trattati a fini statistici, per concludere con il telemarketing. Come si vede i temi sono tutti di estrema attualità, riguardano sia aziende pubbliche che private, sia dati comuni che particolari (sanitari e biometrici, ad esempio). Si raccomanda alle aziende che avessero dei dubbi su questi argomenti di consultare il proprio DPO. In particolare sul whistleblowing si consiglia di verificare la validità e coerenza del sistema con cui dipendente, collaboratori, stagisti possono comunicare il sospetto di episodi di corruzione. Ricordiamo ancora che le ispezioni possono avvenire con Guardia di Finanza o con ispettori del Garante e che non è possibile l’ispezione nelle abitazioni a meno che ci sia un’autorizzazione del giudice.
BANCA NON APPLICA DIRITTI INTERESSATO, MULTA DI 100 MILA EURO
Il Banco Bilbao Vizcaya Argentaria SA è stato multato con 100 mila euro per non aver fornito a un cliente la registrazione della conversazione avvenuta tra il cliente e l’istituto a proposito di una frode bancaria. Solo dopo la comunicazione dell’avvio del procedimento sanzionatorio, la banca ha fatto avere al cliente la registrazione che supportava una denuncia della frode stessa. All’interessato erano stati sottratti 9.900 euro circa con una telefonata alla banca che sembrava provenire dal suo cellulare. Mentre il truffato diceva di esser stata vittima di malviventi, la banca sosteneva invece che il bonifico era regolare. Il Garante ha considerato illecita, cioè contro la legge, la mancata risposta della banca alle richieste dell’interessato e quindi ha multato la banca per non aver dato seguito alla richiesta di accesso ai dati personali dell’interessato, se non dopo l’intervento del Garante.
UE CHIAMATA A DECIDERE SU CHAT CONTROL E FINE DELLA LIBERTA’ SU WEB
Il 14 ottobre gli stati dell’Unione europea sono chiamati ad esprimersi su una proposta di legge che mira al controllo totale delle chat, su qualsiasi piattaforma si svolgano. La proposta di legge parte dalla volontà di contrastare la pedofilia online, ma finisce per diventare una legge liberticida, in quanto gli stati potranno avere totale controllo di ogni conversazione e foto e video postati. Secondo la proposta saranno le piattaforme stesse a ‘scannerizzare’ tutto il materiale che passa in rete prima che finisca al mittente, alla caccia appunto di materiale pedopornografico. I paesi sono divisi, le associazioni per la libertà digitale fanno pressione ma anche quelle che lavorano in difesa dei minori e contro la violenza sui piccoli hanno attivato campagne.
Il Notiziario, coperto da copyright e creato senza il ricorso all’Intelligenza artificiale, è stato realizzato dall’Avv. Gianluca Amarù, l’Avv. Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Amarù, Fava e Fossi hanno pubblicato Manuale di accoglienza enti e autorità (Liberodiscrivere, 2019) , Howto – Come scrivere i documenti privacy (Liberodiscrivere 2020), Privacy in progress (editore FrancoAngeli, giugno 2021) e La Privacy dei dati digitali (FrancoAngeli editore, 2023), La Privacy del dato sanitario (FrancoAngeli, 2024), a firma di Amarù, Fava, Fossi e del DPO Ferdinando Mainardi. A maggio è uscito per Mondadori l’instant book Smetti di farti spiare, a cura del presidente di Federprivacy Nicola Bernardi, con Amarù, Fava, Fossi e con la prefazione del membro del Garante Guido Scorza. A giugno è uscito l’ultimo nostro libro a firma Amarù, Fava, Fossi, Maschio per FrancoAngeli, NIS2: come rafforzare la cybersicurezza.
