L’OBLIO ONCOLOGICO E’ LEGGE ORA MANCANO DECRETI ATTUATIVI
Mancano ancora i decreti attuativi per la nuova legge sul diritto all’oblio per i malati oncologici entrata in vigore il 2 gennaio 2024. Di fatto le persone guarite da patologie legate ai tumori non sono più tenute a comunicare ad assicurazioni, banche e datori di lavoro o altro la malattia pregressa. La legge composta di cinque articoli fa dell’Italia un paese all’avanguardia contro le possibili discriminazioni. Il Garante Privacy vigilerà sull’applicazione della legge.
SU METADATI DELLE MAIL GARANTE AVVIA CONSULTAZIONE PUBBLICA
L’ipotesi di cancellare entro 7 giorni i metadati sui cloud delle mail aziendali deriva da un documento di indirizzo del Garante chiamato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, pubblicato a dicembre ma emerso di fatto a febbraio 2024 grazie alla pubblicazione del documento stesso nella Newsletter del Garante Privacy. Il documento nasce da un presunto abuso di un datore di lavoro che è andato a scandagliare le mail dei dipendenti a fini sanzionatori, aspetto chiaramente vietato dallo Statuto dei lavoratori. L’idea di cancellare i metadati entro 7 giorni però ha creato molti dubbi nelle aziende e nei DPO: ad esempio i dipendenti di moltissime aziende non scaricano più le mail su dei server o sui pc, ma le consultano in modalità webmail, direttamente sul cloud fornito dalla posta. La cancellazione dei metadati comporterebbe la perdita della leggibilità della comunicazione perdendo mittente, destinatario, orario, oggetto. Per cui sommerso dalle domande di chiarimenti, il Garante ha indetto la consultazione pubblica: fino alla fine di marzo datori di lavoro pubblici e privati, esperti della disciplina della protezione dei dati personali e altri soggetti interessati possono inviare commenti e osservazioni a protocollo@gpdp.it oppure protocollo@pec.gpdp.it
ENEL ENERGIA SANZIONATA CON OLTRE 79 MILIONI DI EURO
E’ la sanzione più onerosa comminata da Garante Italiano: oltre 79 milioni di euro per le irregolarità su 9.300 contratti. Di fatto i dati degli interessati non venivano trattati a norma per facilitare il telemarketing. Dall’inchiesta è emerso che 4 cooperative, due in Veneto e due in Toscana, perseguitavano i clienti di altre aziende, con elenchi avuti illecitamente, per proporre contratti di gas ed energia con Enel Energia Spa. Gli operatori delle 4 cooperative facevano a volte delle visite a domicilio con tesserini risultati contraffatti. Le cooperative però non avevano un contratto di consulenza con Enel Energia, ma avrebbero stretto accordi con alcune agenzie della rete Enel. Quindi in sostanza operavano senza l’avvallo del titolare e quindi anche senza adempiere alla normativa sulla raccolta e trattamento dei dati. In pratica le quattro società facevano attività illecita di marketing riuscendo a immettere i dati dei clienti su una piattaforma utilizzata dalle agenzie della rete di vendita. Alla fine l’azienda ha rivelato l’esistenza di 978 contratti, 573 dei quali relativi alla fornitura di energia elettrica e 405 alla fornitura di gas. Di questi 978 contratti, 874 risultano regolarmente attivati e 104 annullati. Ma la Guardia di finanza dall’indagine ha invece desunto che dal 2015 al 2022, sono stati stipulati surretiziamente circa 9.300 contratti di cui ben 1.640 nei soli dieci mesi del 2022 antecedenti l’ispezione presso la compagnia energetica. Di fatto il Garante accusa Enel Energia di non aver fatto i controlli adeguati sull’acquisizione dei nuovi contratti e di aver badato solo alla produttività senza pensare alla sicurezza informatica e di non aver nominato e vigilato sui responsabili e sub-responsabili. Alla fine Enel si è presa una multa di 79 milioni 107 mila e rotti euro e l’ingiunzione a utilizzare misure informatiche a protezione della piattaforma contratti in modo che soggetti non autorizzati non possano accedere e comunicare ai 595 interessati il provvedimento del Garante.
PUBBLICATA RICERCA SU DPO IN AMBITO BANCARIO
Grazie alla collaborazione tra Garante e Abi (Associazione bancaria italiana) è stata fatta la prima ricerca sui DPO o RPD, Responsabile della protezione dei dati, in ambito bancario. La ricerca analizza anche le sfide dell’utilizzo dell’intelligenza artificiale (basti pensare a una possibile valutazione dell’accesso al credito con l’utilizzo di macchine per far venire i brividi a chiunque). Al questionario elaborato hanno risposto 87 banche e istituti di credito. Il Garante ha insistito sull’opportunità di creare reti di DPO afferenti allo stesso settore. “Iniziative simili – ha detto il Presidente del Garante Privacy, Pasquale Stanzione – sono estremamente importanti non soltanto perché rappresentano un’occasione di confronto sull’importanza di una tutela effettiva dei dati personali, ma anche perché consentono di comprendere l’importanza della protezione dei dati per lo sviluppo armonico della nostra società. Il Gdpr, nel tentativo di coniugare sviluppo economico, innovazione e dignità umana, detta le condizioni per il lecito trattamento dei dati, a tutela della persona ma anche per la libera circolazione dei dati stessi, necessaria per promuovere economia e innovazione. Allo sviluppo crescente di sistemi sempre più avanzati di analisi ed elaborazione di dati personali nel settore bancario si deve quindi accompagna¬re il potenziamento del ruolo e dei compiti del RPD”.
EDPB: DIRITTI INTERESSATO OBIETTIVO 2024
Il Board europeo EDPB ha deciso di stressare nel corso del 2024 il diritto all’accesso dei propri dati da parte dell’interessato, sul quale già nel 2023 ha emanato delle Linee Guida. Perciò EDPB ha dato avvio al Quadro di attuazione coordinata (CEF) per il 2023 nel quale 31 Autorità garanti per la protezione dei dati personali dello Spazio economico europeo incluse le autorità di 7 Lander tedeschi – parteciperanno alle iniziative. Si tratta della terza iniziativa coordinata di EDPB. Le due precedenti hanno preso in esame l’utilizzo dei servizi cloud da parte del settore pubblico nel 2022, e la designazione e ruolo dei Responsabili della Protezione dei Dati nel 2023. I diritti dell’interessato di fatto sono una pilatro del GDPR e occupano una buona parte del Regolamento europeo. Inoltre appare come tema principe rispetto alle lamentele e segnalazioni e denunce che le Autorità nazionali ricevono dai cittadini. Segno tutto sommato che la gente è sempre più informata sui propri diritti e che le aziende non possono ignorare i rischi di una cattiva gestione del Sistema Privacy, ad esempio ignorare, ritardare o non avere scadenze per le risposte alle richieste degli interessati che ci hanno conferito dei dati.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020), ‘Privacy in progress’ (editore FrancoAngeli, giugno 2021) e ‘La Privacy dei dati digitali’ (FrancoAngeli editore, 2023). Stiamo lavorando a un nuovo volume sui dati relativi alla salute che uscirà a breve, sempre per FrancoAngeli, a firma di Amarù, Fava, Fossi e del DPO Ferdinando Mainardi.
