EDPB: I DATI SANITARI DEVONO RESTARE NELLA UE
Il Board europeo EDPB e il suo supervisor Wojciech Wiewiórowski detto EDPS, hanno scritto un parere congiunto su una proposta della Commissione europea a proposito dello “Spazio europeo dei dati sanitari” (European Health Data Space) che la Ue ha allo studio. Il progetto nasce dalla volontà di condividere e trattare i dati sanitari, ma in un ambiente sicuro e protetto, quindi fornire la migliore assistenza sanitaria tutelando i dati particolari. Si tratta non solo dei dati medici raccolti in occasione di cure e ricoveri, ma anche di quelli legati alla ricerca scientifica piuttosto che alla cosiddetta telemedicina e quindi anche i dati raccolti da app legate alla salute e al benessere. I due organismi, EDPB e EDPS, si preoccupano in particolare per l’uso secondario, vale a dire come vengono trattati, diffusi e veicolati i dati del paziente dopo la cura; in che misura viene rispettato il GDPR e sopratutto quale consapevolezza ha l’interessato della possibile circolazione dei suoi dati presso soggetti terzi non autorizzati. In pratica al momento non è chiarissimo come far sì che il cittadino eserciti il diritto alla limitazione del trattamento dei propri dati sanitari presso soggetti terzi che non coincidono con quello a cui hanno dato i dati in un primo tempo. Tra le altre cose i due organi hanno anche suggerito che i dati sanitari raccolti dalle app possano essere usati solo in ambito sanitario e che comunque Parlamento europeo e Consiglio mettano l’obbligo di trattare questi dati solo in ambito Ue. Ricordiamo come con alcune app legate alla vaccinazione e alla campagna Covid emerse che i dati finivano anche negli Usa a totale insaputa degli interessati.
BANCA TEDESCA MULTATA PER 900 MILA EURO
In Germania ogni land ha un suo garante privacy. Quello della Bassa Sassonia ha appena multato una banca digitale, la Volksbank, per 900 mila euro per violazioni del GDPR avvenute nel 2020. In pratica dall’inchiesta è emerso che la banca controllava a loro insaputa ogni movimento in rete per profilare il cliente. Secondo la banca si cercava di fare offerte migliori e più personalizzate. Questo comportamento giustificato secondo loro dal legittimo interesse portava la banca a spiare ogni mossa dei suoi clienti ed essere in grado di capire ad esempio se uno si stampava o meno il saldo, se usava l’homebanking o meno. Per profilare meglio il cliente la banca ha usato anche un’agenzia di credito, sulla quale gli interessati avevano avuto sommarie notizie in una lettera di 28 pagine.
PIU’ ACHERAGGI AL SUD ITALIA CHE AL NORD
Secondo un report di Exprivia gli attacchi hacker in Italia sono stati 1.572 nel primo semestre 2022 con un incremento rispetto all’intero 2021 (1.356). Il report stabilisce anche un divario tra Nord e Sud: ci sono più furti di dati nel Meridione. Telecamere, stampanti, impianti di videosorveglianza e dispositivi aziendali vanno protetti con tecnologie all’avanguardia e la consapevolezza sulla cyber security non è così diffusa. Le imprese che si occupano di difesa cybernetica delle aziende sono in Italia oltre 3 mila e sono cresciute del 5 per cento nell’ultimo anno, dopo un crescita del 32 per cento tra il 2018 e il 2020.
MULTATE DUE ASL PER ACCESSO DATI DA PARTE DI MEDICI ‘SBAGLIATI’
Il Garante italiano ha multato due Asl del Friuli-Venezia Giulia dopo aver verificato che medici e infermieri non responsabili delle cure del paziente avevano accesso al fascicolo sanitario, quindi ai dati particolari del paziente, senza esserne titolati. Secondo l’inchiesta qualsiasi dipendente delle Asl riusciva ad accedere ai dati di chiunque e sapere malattie, leggere referti, apprendere di terapie. Il Garante ha anche condannato gli illeciti compiuti da una società che gestisce l’applicativo. Tra le anomalie il personale di un carcere era in grado di accedere ai dati di tutti i pazienti dell’Asl non solo a quelli dei carcerati. Alla fine una Asl è stata multata con 50 mila euro e l’altra con 70 mila. Questo episodio ci fa capire come sia necessario progettare per privacy by design ogni trattamento dei dati e poi verificare che cosa succede sul campo con una Dpia. Se il trattamento mette a rischio i diritti e le libertà degli interessati vanno introdotti radicali correttivi.
MILLE EURO DI MULTA A DIREZIONE DIDATTICA PER MAIL IN CHIARO
Attenzione quando si fanno della mailing list, vale a dire si manda lo stesso messaggio a più persone che non sono i dipendenti dell’azienda ma magari clienti o esterni. Una direzione didattica è stata multata con 1.500 euro per aver mandato tutti gli indirizzi dei genitori in chiaro in una mail in cui si inviava il calendario delle riunioni del gruppo operativo per l’inclusione scolastica. Ogni destinatario non doveva vedere in chiaro gli indirizzi degli altri. Sembra una cosa elementare ma si può sbagliare, quindi è un punto da tenere presente nelle comunicazioni aziendali.
AL VIA IL REGISTRO DELLE OPPOSIZIONI PER I TELEFONINI
Dal 27 luglio 2022 il Registro delle opposizioni è stato esteso ai numeri di smartphone e telefonini. Come è capitato già di spiegare, tutti i consensi dati in precedenza per marketing e profilazione su quel cellulare vengono annullati. Alle imprese dunque resta il compito di aver ben presente la cosiddetta Black list, vale a dire non chiamare chi ha aderito al registro. L’adesione riguarda anche l’invio di posta cartacea. Il Registro predisposto dal Ministero dello sviluppo economico è gestito come quello precedente che bloccava le telefonate ai numeri fissi dalla Fondazione Ugo Bordoni e dovrebbe metter fine al cosiddetto marketing selvaggio, quindi limitare le telefonate che tutti riceviamo o abbiamo ricevuto anche da aziende con cui non abbiamo mai avuto nessun rapporto e quindi alle quali non abbiamo mai dato il nostro consenso. Il cittadino può far reclamo al Garante per segnalare eventuali violazioni con moduli predisposti sul sito online garanteprivacy.it o gpdp.it.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020) e ‘Privacy in progress’ (editore Franco Angeli, 2021), acquistabile anche in digitale sul sito francoangeli.it.
