g-docweb-display Portlet

Newsletter del 3/12/21 - Tabulati: Tim nega l'accesso a un cliente e scatta la sanzione del Garante privacy - Customer care: Garante privacy, no al controllo a distanza dei lavoratori - Sanità: sì del Garante privacy al Registro nazionale degli impianti protesici mammari - Carta Giovani Nazionale: Garante, sì alla valutazione d'impatto sulla protezione dati

Stampa Stampa Stampa

Logo newsletter

NEWSLETTER N. 484 del 3 dicembre 2021


Tabulati: Tim nega l’accesso ad un cliente e scatta la sanzione del Garante privacy
Non rispondendo alle istanze dell’abbonato ha ostacolato l’agevole esercizio del diritto di difesa

 

Tim dovrà pagare una sanzione di 150 mila euro per aver negato a un abbonato l’accesso ai propri tabulati telefonici necessario per potersi difendere in sede penale. Lo ha deciso il Garante per la protezione dei dati personali. Con l’accesso ai tabulati, l’abbonato, intestatario di due utenze di cui una in uso ad un’altra persona, intendeva raccogliere informazioni da produrre in un processo penale a sostegno della propria difesa, volta a dimostrare l’estraneità ai fatti che gli venivano contestati. Non avendo ricevuto riscontro alle sue reiterate richieste da parte della Società, si era rivolto al Garante per poter ricevere i tabulati in tempo utile per l'udienza del processo penale.

Il Garante respingendo le giustificazioni presentate da Tim, con un provvedimento urgente, aveva dichiarato illecita la condotta della Società e le aveva ingiunto di soddisfare le richieste dell’utente, riservandosi l’applicazione di una sanzione pecuniaria.

Con l’odierno provvedimento sanzionatorio l’Autorità ha affermato che i problemi tecnici lamentati da Tim nella gestione delle istanze dell’abbonato e del suo avvocato non possono riflettersi negativamente sul diritto di accesso e sull’effettivo controllo e disponibilità dei propri dati riconosciuti dal Regolamento Ue, tanto più in una sede delicata come quella del processo penale. Così come gli asseriti tentativi di contatto telefonico e l’invio di una email ordinaria da parte di Tim per chiedere l’integrazione dell’istanza, peraltro a quasi 20 giorni dal suo ricevimento, non possono rappresentare una condotta idonea sempre ai sensi del Regolamento. In base alla normativa europea infatti il titolare del trattamento deve agevolare l’esercizio dei diritti dell’interessato e fornire riscontro senza ingiustificato ritardo, e comunque non oltre un mese dal ricevimento della richiesta.  Il Garante ha peraltro evidenziato che la compagnia telefonica non può sindacare nel merito la strategia difensiva dell'imputato che abbia richiesto i dati di traffico.

Nel determinare l’ammontare della sanzione e la pubblicazione del provvedimento l’Autorità ha tenuto in particolare conto la condotta gravemente negligente della Società per aver trascurato il riscontro a ripetute istanze chiare e motivate e per aver ostacolato l’agevole esercizio del diritto di accesso da parte dell'interessato e di conseguenza il pieno esercizio del suo diritto di difesa, oltre che di alcune recenti analoghe violazioni da parte della medesima Società.

 


Customer care: Garante privacy, no al controllo a distanza dei lavoratori
Sanzionata società di trasporto pubblico: il sistema utilizzato non era un semplice “strumento di lavoro”

Non è possibile attivare sistemi con funzioni di controllo a distanza dei lavoratori senza aver adottato tutte le tutele previste dallo Statuto dei lavoratori e dal Codice privacy. Questa la decisione del Garante per la protezione dei dati personali in merito al reclamo di un dipendente di una società di trasporto pubblico che lamentava il monitoraggio del personale tramite il sistema di gestione delle telefonate del call center dedicato al customer care.

Nel corso dell’istruttoria, la società aveva giustificato l’utilizzo di tali strumenti tecnologici con la necessità di verificare gli standard qualitativi e di gestire eventuali reclami, precisando di averne informato i lavoratori e i sindacati.

In seguito a un’attività ispettiva è però emerso che i dipendenti in realtà non erano stati adeguatamente informati. Tale sistema, inoltre, non si limitava alla gestione delle telefonate, ma consentiva la registrazione, il riascolto delle telefonate e la conservazione per un tempo imprecisato anche di altre informazioni relative all’attività lavorativa del singolo operatore, come la durata delle telefonate, i numeri contattati, data e ora della chiamata. Queste caratteristiche del software, che configuravano un’attività di controllo a distanza dei dipendenti, non lo rendevano classificabile come semplice “strumento di lavoro”, ma richiedevano per la sua implementazione uno specifico accordo sindacale o, in alternativa, l’autorizzazione dell’Ispettorato. Lo stesso Regolamento europeo – ha ricordato il Garante - consente l’impiego di strumenti che possono comportare il monitoraggio sul posto di lavoro solo qualora vengano adottate, nel rispetto delle norme di settore, misure appropriate e specifiche a salvaguardia della dignità e dei diritti fondamentali dei lavoratori interessati.

L’azienda di trasporto aveva invece trattato i dati dei dipendenti in modo non conforme ai principi di minimizzazione e di limitazione del periodo di conservazione dei dati, e non aveva neppure adottato misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei dati personali trattati.

Considerata la collaborazione offerta dalla società, che aveva anche prontamente disattivato il sistema, l’Autorità le ha applicato una sanzione amministrativa di 30.000 euro.

 


Sanità: sì del Garante privacy al Registro nazionale degli impianti protesici mammari

Parere favorevole del Garante privacy sullo schema di regolamento che istituisce il Registro nazionale degli impianti protesici mammari. L’Autorità tuttavia ha chiesto al Ministero della salute di apportare alcuni perfezionamenti al testo, per conformarlo complessivamente alla disciplina in materia di protezione dei dati personali.

Il Registro nazionale è un importante strumento di monitoraggio clinico ed epidemiologico che censisce gli impianti protesici mammari effettuati in Italia, nell’ambito della chirurgia plastica, ricostruttiva ed estetica. Il Registro – alimentato dai Registri regionali e provinciali - raccoglie dati relativi alla tipologia e alla durata degli impianti, al materiale di riempimento utilizzato e all’etichettatura del prodotto, agli effetti collaterali connessi, nonché all’incidenza di tumori mammari e malattie autoimmuni.

Lo schema di regolamento sottoposto al Garante, che tiene conto delle indicazioni rese dall’Ufficio nell’ambito di interlocuzioni di carattere tecnico, disciplina una serie di aspetti: i tempi e le modalità di raccolta dei dati nel Registro nazionale; gli obblighi informativi delle Regioni e delle Province autonome di Trento e di Bolzano nei confronti del Registro stesso; i tipi di dati sanitari e le operazioni eseguibili; i soggetti legittimati ad accedere ai dati; le garanzie e misure di sicurezza da adottare nel trattamento dei dati personali.

Nel rendere il suo parere favorevole, il Garante ha chiesto al Ministero di perfezionare il testo: dovrà essere espunto, ad esempio, il riferimento alle materie estranee alle finalità perseguite dai Registri, quali ad esempio quelle inerenti le attività amministrative e certificatorie; e dovrà essere previsto che l’accesso ai Registri regionale e provinciale, da parte dei professionisti sanitari coinvolti, sia limitato alle sole finalità del regolamento.

 


Carta Giovani Nazionale: Garante, sì alla valutazione d’impatto sulla protezione dati

Via libera del Garante per la privacy alla valutazione d’impatto sulla protezione dei dati (DPIA) nell’ambito del progetto Carta Giovani Nazionale (CGN) trasmessa dal Dipartimento per le politiche giovanili e il servizio civile universale della Presidenza del Consiglio dei Ministri.

La CGN è un servizio digitale, accessibile attraverso l’App IO, che permette ai giovani tra i 18 e i 35 anni residenti in Italia di ottenere sconti su manifestazioni culturali, sportive, attività di orientamento professionale, e di accedere all’European Youth Card.

La valutazione d’impatto è necessaria nei casi, come quello in questione, in cui il trattamento dei dati personali presenti rischi elevati perché coinvolge i dati di milioni di giovani.

La valutazione d’impatto approvata recepisce le indicazioni fornite dall’Autorità nell'ambito delle interlocuzioni informali intercorse con il Dipartimento per le politiche giovanili, PagoPa e Studiare Sviluppo srl volte ad assicurare il rispetto al Regolamento Ue. Le indicazioni hanno riguardato, in particolare, l’individuazione delle attività svolte nell’ambito del trattamento; il rispetto del principio di minimizzazione dei dati e di privacy by design e by default; le modalità di controllo sugli usi difformi della Carta da parte dei beneficiari.

La DPIA, oltre a individuare le modalità e i tempi di conservazione e la successiva cancellazione delle informazioni dei beneficiari della Carta Giovani Nazionale, pone attenzione alla definizione di ruoli e rapporti tra il Dipartimento per le politiche giovanili e il servizio civile universale, Studiare Sviluppo S.r.l. e PagoPA S.p.A., la società che gestisce l’App IO, rispettivamente Titolare e Responsabili del Trattamento.

Rispetto all’analisi dei rischi relativi alla sicurezza dei dati il Garante dà atto al Dipartimento di aver disposto l’adozione di misure volte a mitigarli in coerenza con gli obblighi stabiliti dal Regolamento europeo in materia di protezione dati.

 


 

L'ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it