GREEN PASS: TUTTI I DUBBI DEL GARANTE. NO A INIZIATIVE SPARSE
Come già successo con la Val d’Aosta e con la provincia di Bolzano, il Garante è tornato a vietare sistemi di certificazione locali sull’avvenuta guarigione da Covid o vaccinazione eseguita, anche per la Regione Campania. La voglia di far ripartire il settore turistico e di accoglienza spesso porta a salti in avanti che comportano la violazione della privacy delle persone. Il Garante ha nuovamente ribadito che serve un quadro nazionale e che non si possono basare questi trattamenti di dati anche particolari su ordinanze regionali o comunali. Nella fattispecie campana ad esempio non era specificato il titolare dei dati, chi accede e chi fa il trattamento e chi è autorizzato a verificare la validità del cosiddetto Pass. Con questi presupposti risultano violati i principi di liceità, correttezza, trasparenza, privacy by design e by default e chiaramente la multa è scontata.
VACCINAZIONI SUI LUOGHI DI LAVORO
A differenza di quanto scritto anche sui media, il titolare di un’azienda, che sia pubblica o privata, non può raccogliere direttamente i dati dei lavoratori che vogliono farsi vaccinare. Con un Documento di indirizzo urly.it/3d5mp, l’Authority italiana ha nuovamente sottolineato come il vaccino sia un trattamento sanitario, che la natura dell’adesione deve essere volontaria e perciò non vanno penalizzati lavoratori che eventualmente non vogliano aderire e la somministrazione del vaccino debba rispettare tutti i dettami in termini di privacy. Perciò la vaccinazione deve essere gestita da un medico competente di sicurezza sui luoghi di lavoro, raccordato col sistema sanitario nazionale. Per altro la vaccinazione, e quindi il trattamento dei dati personali e particolari del lavoratore, rientra in una quadro di medicina preventiva e medicina del lavoro. La procedura corretta dunque prevede che sia il medico a raccogliere i nominativi e i dati sanitari delle persone che aderiscono e il titolare si limiti a comunicare all’Asl il numero delle dosi necessarie senza accedere all’identità degli aderenti. Sono tutti aspetti molto importanti da tener presenti per evitare ricorsi di lavoratori.
L’AZIENDA NON PUO’ CONTROLLARE QUANTO E COME SI LAVORA
Un’azienda di Isernia raccoglieva dati personali dei lavoratori al di là del GDPR, 11 lavoratori hanno presentato un esposto al Garante con la Fiom-Cgil e hanno vinto. L’azienda è stata multata con 40 mila euro. In pratica i lavoratori inserivano una password al momento dell’entrata al lavoro e poi il sistema a loro insaputa raccoglieva dati sulla produzione del singolo per le 8 ore di turno, vale a dire il numero di pezzi prodotti. L’entità della multa è relativa alla illiceità del trattamento. Prima di tutto l’informativa fornita inizialmente ai lavoratori escludeva che i dati venissero stoccati e riferiti alle persone; i lavoratori non erano informati del tempo di conservazione dei dati di due anni; i dati sono stati usati anche in un procedimento disciplinare contro un dipendente nonostante sia l’informativa che l’autorizzazione dell’Ispettorato all’introduzione del sistema non lo prevedessero. Insomma l’azienda ha comunicato una cosa e ne faceva un’altra.
COMUNE DI PALERMO AUTORIZZA TERZI AD ACCESSO DATI CITTADINI
Multone di 40 mila euro anche al Comune di Palermo per aver autorizzato alcune associazioni ad accedere a un database comunale senza avvedersi dei rischi. Tutto nasce dall’esposto di un cittadino che aveva fatto richiesta di sussidi alimentari al Comune e ha ricevuto invece la telefonata di un addetto a un’associazione che collabora col Comune per la distribuzione di viveri. Il Comune infatti aveva creato una piattaforma per accelerare le pratiche di distribuzione ma aveva anche dato alle associazioni l’accesso ai dati personali dei richiedenti con una nomina a Responsabile. Tuttavia ogni telefonista poteva vedere l’Isee e altri dati non utili alla pratica, che non sono stati anonimizzati. Per di più il Comune non poteva controllare chi avesse visualizzato le pratiche perché non venivano conservati i file di log. Sono stati violati i principi di integrità, riservatezza, privacy by design e by default e non c’erano misure di sicurezza informatiche adeguate.
DPO O RDP OBBLIGATORIO PER ENTI PUB BLICI
Con linee guida specifiche il Garante italiano ha nuovamente insistito sulla necessità della nomina del Dpo per le autorità e gli enti pubblici (art. 37, 38 e 39 del GDPR e Considerando 97). In troppi casi, rimarca l’Autorità, gli enti pubblici nominano soggetti esterni in conflitto d’interesse, come succede ad esempio con un legale già difensore dell’ente oppure con il titolare di un’azienda informatica già nominato Responsabile del trattamento. E’ evidente che chi cura il sistema informatico e deve provvedere alla sicurezza anche tecnologica, non può essere anche colui che autonomamente controlla la sicurezza fisica e informatica del sistema privacy. Inoltre molte nomine di Dpo notificate al Garante risultano incomplete o carenti, segno che la prassi della nomina del RDP o DPO non è ancora entrata nel quotidiano. In 36 pagine perciò il Garante traccia le linee guida sottolineando l’obbligo di nomina, le funzioni e le caratteristiche della persona da scegliere. https://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9589104
DIVIETO ASSOLUTO DI DIFFUSIONE DI DATI SANITARI
Le immagini di un paziente operato in un ospedale hanno fatto il giro della rete pubblicati su una rivista del settore e reperibili con i motori di ricerca. Il paziente perfettamente riconoscibile in diverse fasi ha fatto causa all’Ausl. E’ emerso che il chirurgo che lo aveva operato ha portato le immagini in un convegno medico senza il permesso dell’Ausl e del paziente. Inoltre i dati non erano stati anononimizzati. Formalmente il medico aveva ricevuto il consenso ai trattamenti del paziente ma solo a fini di cura. L’Asl è stata multata per 5 mila euro e l’associazione chirurgica che per prima aveva pubblicato i documenti per 2 mila euro.
ATTACCO INFORMATICO A COMPAGNIA ASSICURATIVA
La compagnia Axa ha avuto un attacco informatico con ramsomware dopo aver tolto dalle informative ai clienti proprio i rimborsi in caso di attacco con ramsomware. La scelta è dettata dal fatto che quando i cybercriminali danneggiano i sistemi e chiedono il riscatto, non c’è alcuna certezza che i dati non vengano poi diffusi comunque. Per questo la compagnia multinazionale ha deciso di procedere con l’eliminazione dei rimborsi per attacchi da ramsoware. E’ chiaro che l’acheraggio sembra una rappresaglia dei criminali del web. Sono stati sottratti 3 terabyte di dati e sono rimaste bloccate per ore le attività in estremo oriente, paesi come Filippine e Malesya. Già nel 2020 secondo una ricerca il 41 per cento delle richieste di risarcimento danni erano proprio legati ad attacchi di questo tipo. Un episodio che fa riflettere su come i sistemi di protezione vadano continuamente aggiornati e vigilati da esperti di IT.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Privacy specialist, riuniti nell’acronimo A2F Privacy&Compliance. I tre con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno poi pubblicato Manuale di accoglienza enti e autorità (Liberodiscrivere, 2019) e Howto – Come scrivere i documenti privacy (Liberodiscrivere 2020). A giugno sarà in libreria il nuovo volume cartaceo e digitale Privacy in progress (editore Franco Angeli).
