SORO: SU QUALI CAMPI SI CONCENTRANO LE ISPEZIONI FINO A GIUGNO
Il Garante italiano per la privacy Antonello Soro ha precisato che l’attività ispettiva del Garante anche tramite la Guardia di Finanza per il primo semestre 2020 si concentrerà sugli accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di: trattamenti di dati personali effettuati da Enti pubblici relativamente alla cosidetta medicina di iniziativa; trattamenti di dati relativi alla salute effettuati da società multinazionali operanti nel settore farmaceutico e sanitario; trattamento di dati personali effettuati nel quadro dei servizi bancari on line; trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing); trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica; trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR; trattamenti di dati personali effettuati da società private ed Enti pubblici per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center; trattamenti di dati personali effettuati da società per attività di marketing; trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione; trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”;trattamento di dati personali effettuati da società private in tema di banche reputazionali e infine le denunce o meno di avvenuti data breach.
SPIARE DOSSIER SANITARI PUO’ COSTARE 30 MILA EURO
30 mila euro: è la multa comminata dall’Autorità italiana a un’azienda ospedaliero universitaria integrata di Verona per illecito accesso al dossier sanitario di sei persone, nello specifico delle ostetriche, dipendenti dell’azienda stessa. Utilizzando il computer di un medico, lasciato incustodito e aperto negli orari notturni, un collega è riuscito a guardare “per mera curiosità” le cartelle delle sei ostetriche ricoverate in passato nella struttura. Il Garante ha intimato all’Azienda di implementare misure tecniche per rafforzare il sistema informatico e applicare dei filtri e diversi gradi di accesso in modo ad esempio che i radiologi vedano solo le radiografie e non l’intero dossier sanitario del paziente. La multa comminata dal Garante è di misura piuttosto lieve a fronte della gravità dell’accaduto, solo per il fatto che l’azienda ha collaborato ampiamente all’indagine.
MULTATA UNIVERSITÀ ROMA PER CATTIVA PROTEZIONE SEGNALAZIONI
Anche la Sapienza di Roma è stata multata dal Garante italiano per l’inserimento di nuove tecnologie che facilitano uno scarso controllo dei dati. Al centro dell’indagine in pratica c’è stato un Data Breach avvenuto nell’aprile 2018. Tutto è partito dalle segnalazioni riservate di un tecnico e una studentessa che invece di rimanere in una parte riservata del sito e quindi considerate alle stregua di whistleblowing (spifferate), sono finite su motori di ricerca web. L’indagine durata oltre un anno, ha convinto il Garante che l’Università non ha curato l’adeguata sicurezza dei dati personali; che non sono state messe in atto misure tecnologiche sufficienti anche relativamente al controllo dell’accesso ai dati e alla conservazione dei dati stessi. Alla fine la sanzioni è stata di 30 mila euro.
GARANTE: ASSENSO AL TRATTAMENTO DATI PER CORONAVIRUS
Interessante sapere che prima della raccolta di dati relativi all’epidemia di coronavirus, il Garante italiano per la privacy è stato sentito in merito alle disposizioni urgenti di protezione civile riguardanti “l’emergenza sul territorio nazionale relativo al rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili”, già ai primi di febbraio. Il Garante ha dato via libera alle misure che hanno la durata di sei mesi, precisando che non si è avuto il tempo di riunire il Collegio del Garante. Inoltre l’Autorità chiede che “alla scadenza del termine dello stato di emergenza, siano adottate da parte di tutte le Amministrazioni coinvolte negli interventi di protezione civile di cui all’ordinanza, misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali in capo a tali soggetti”.
RICONOSCIMENTO FACCIALE: UE, DECIDANO GLI STATI
La Commissione europea nella sua agenda ha rimandato ai governi la scelta del ricorso al riconoscimento facciale per motivi di sicurezza. Il Garante in uno speciale di Sky Tg24 ha precisato che “i dati biometrici hanno una tutela molto rafforzata in ambito europeo ed italiano. Il trattamento è subordinato al consenso o a una norma esplicita che prevede le modalità di utilizzo, ma deve ottemperare anche ad altri principi come il fatto che deve esserci una necessità, una finalità fondata, una proporzione tra gli obiettivi e gli strumenti utilizzati”. Il Garante ha anche parlato della Privacy by design, vale a dire una verifica di impatto privacy da fare prima del trattamento. In Italia il fatto che i dati biometrici di riconoscimento facciale vengano gestiti da Sari, un software che è stato applicato a una banca dati del Viminale preesistente che contiene 9 milioni di persone, 2 milioni italiani e il resto stranieri, preoccupa. In sostanza Soro spiega che c’è il rischio di “utilizzare immagini riprese da telecamere qualsiasi che con l’intelligenza artificiale vanno a fare la verifica di un’altra banca dati”. Su questo il Garante ha chiesto da tempo altre informazioni al Ministero dell’Interno e alla Polizia, per ora senza risposta.
SORO: C’E RISCHIO DI SORVEGLIANZA DI MASSA
Da tempo il Garante mette in guardia dal rischio della sorveglianza di massa in nome della sicurezza. “Rischiamo di metterci sul percorso della Cina e utilizzare prodotti fatti in Cina per applicativi di sorveglianza di massa”, ha detto Soro sempre a Sky. Soro ha aggiunto che la privacy non deve essere considerata un concetto novecentesco o un lusso per paesi ricchi, ma una parte della libertà degli individui. “Il Garante ha avuto scontri sulle impronte digitali per entrare in ufficio, sulle webcam con controllo a distanza persino degli asili – ha ricordato il capo dell’Authority italiana – Noi non siamo contrari all’uso delle tecnologie ma la raccolta di dati biometrici non va allargato in modo indiscriminato. Seguendo il mito del controllo si arriva alle scelte del controllo pervasivo che accade oggi in Cina”.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Privacy specialist, riuniti nell’acronimo A2F Privacy&Compliance. I tre con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019) e hanno collaborato a Manuale di accoglienza enti e autorità, a cura di Marco Fossi (Liberodiscrivere, 2019), entrambi in libreria.