Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Newsletter 27/07/2020 - Enti locali: Garante privacy, stop a illecita diffusione di dati personali - Sanità: il Garante chiede maggiore sicurezza per i dati dei pazienti - Buono mobilità: via libera del Garante privacy

 

 

 

NEWSLETTER N. 467 del 27 luglio 2020

 

Enti locali: Garante privacy, stop a illecita diffusione di dati personali
Sanità: il Garante chiede maggiore sicurezza per i dati dei pazienti
Buono mobilità: via libera del Garante privacy

 

 

_______________________________

 

 

Enti locali: Garante privacy, stop a illecita diffusione di dati personali
Sanzionati alcuni Comuni e una Regione


Gli enti locali devono valutare con particolare attenzione se, in base alla normativa, possono rendere pubblici i dati personali, spesso anche particolarmente riservati, contenuti in delibere e in altri documenti. Lo ha ribadito il Garante per privacy in alcuni provvedimenti sanzionatori adottati il 2 luglio 2020 nei confronti di una Regione, di due Comuni e di un’Unione di Comuni.

Il primo provvedimento riguarda una Regione che aveva pubblicato sul proprio sito un documento riguardante l’esecuzione di una sentenza civile relativa a un debito maturato dall’ente. Alle proteste dei segnalanti, l’amministrazione aveva risposto giustificando la pubblicazione online sulla base di alcune disposizioni di natura contabile.

Nel caso specifico, però, il Garante ha ricordato che i dati personali contenuti in quei documenti potevano essere giustamente usati per controlli della magistratura contabile sui debiti fuori bilancio, ma che le norme citate non prevedevano la diffusione di quei dati.

Tenendo conto della collaborazione offerta dall’ente e dell’impegno per la verifica delle misure tecniche e organizzative adottate dal personale per il rispetto della privacy, il Garante ha comminato alla Regione una sanzione pecuniaria di 4.000 euro.

L’Autorità ha accolto anche il reclamo nei confronti di due enti locali, un Comune e l’Unione Comunale a cui esso appartiene, che avevano pubblicato sui rispettivi siti web, nella sezione amministrazione trasparente o nell’albo online, atti amministrativi riferibili al reclamante, diffondendo anche dati personali relativi a condanne penali e a reati. Nel corso dell’istruttoria, le due amministrazioni hanno sostenuto che la pubblicazione fosse obbligatoria ai sensi della normativa sulla trasparenza e sulla pubblicità legale degli atti e che, in ogni caso, la persona interessata fosse difficilmente identificabile, in quanto negli atti amministrativi oggetto di pubblicazione erano riportati solo il numero di matricola o le iniziali del cognome e del nome. Una delle due amministrazioni, tra l’altro, aveva affermato che la pubblicazione era stata avallata anche dal Responsabile per la protezione dei dati (Rpd/Dpo) dell’ente. Il Garante ha però rilevato che le normative citate non consentivano la diffusione di quei dati personali, tra cui quelli relativi a condanne penali e reati. L’interessato, inoltre, poteva facilmente essere identificato dai colleghi, da conoscenti e da numerosi altri soggetti in ambito locale. Il Comune e l’Unione di Comuni hanno ricevuto due sanzioni pecuniarie rispettivamente di 4.000 e 6.000 euro.

L’ultimo provvedimento riguarda, invece, un Comune che aveva inviato per posta elettronica, ad alcune testate locali, un “decreto di citazione” con i dati, riferibili anche a vicende penali e a misure di sicurezza e prevenzione, di cinque persone, tra cui tre testimoni citati a comparire. L’ente locale aveva giustificato la trasmissione del documento ai giornalisti con il fine di tutelare la propria immagine ed esercitare il legittimo diritto di critica nei confronti di alcuni attacchi pubblicati sulla stampa. Anche in questo caso, però, il Garante ha rilevato che la comunicazione di tali dati non fosse giustificata dalla presunta “esecuzione di un compito connesso all’esercizio di pubblici poteri” o da un’altra base normativa, come quella sulla trasparenza. Al Comune è quindi stata comminata una sanzione di 2.000 euro.

Il Garante, nell’approvare i provvedimenti e le relative sanzioni, ha ribadito agli enti locali che il trattamento di dati personali effettuati da soggetti pubblici è lecito solo se necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento oppure per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Ha inoltre aggiunto che la diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o di regolamento.

In ogni caso, l’ente locale è tenuto a rispettare i principi indicati dal Regolamento europeo in materia di protezione dei dati personali, in particolare, quelli di liceità, correttezza e trasparenza nonché di minimizzazione, in base al quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

 

 

_______________________________

 

 

Sanità: il Garante chiede maggiore sicurezza per i dati dei pazienti
Ammoniti una asl e un policlinico

Una asl e un policlinico sono stati ammoniti dal Garante privacy per due limitate violazioni di sicurezza (data breach) che avevano causato un illecito trattamento di dati sanitari. Gli episodi erano stati portati all’attenzione dell’Autorità dalle stesse strutture che, come prescritto dal Regolamento Ue, avevano regolarmente notificato al Garante la violazione di dati personali che si era verificata a danno di alcuni loro pazienti.

L’ammonimento è uno dei nuovi poteri attribuiti dal Regolamento europeo alle Autorità di protezione dati che consente alle stesse - in presenza di una violazione minore o qualora la sanzione pecuniaria da imporre dovesse costituire un onere sproporzionato per una persona fisica - di rilevare la violazione e annotarla nel registro tenuto dall’Autorità anziché adottare una sanzione pecuniaria. Ciò consente, in caso di recidiva, di tenerne conto ai fini della quantificazione della sanzione.

Nel caso segnalato dalla asl, a un paziente che aveva richiesto la copia cartacea della propria cartella clinica era stata consegnata, per errore, quella di un altro malato, mentre in quello comunicato dal policlinico, un paziente aveva rinvenuto nel proprio Fascicolo sanitario elettronico (Fse) un referto relativo a un’altra persona.

Nel primo episodio il Garante, con il provvedimento del 2 luglio 2020, ha rilevato che si era verificata una indebita comunicazione di dati sulla salute di un paziente a un soggetto terzo ma, considerato che la documentazione, come dichiarato dalla stessa asl, era stata riconsegnata subito all’ospedale, ha qualificato il caso come “violazione minore”, ai sensi del Regolamento Ue.

Il Garante ha quindi ammonito la asl per la violazione della disciplina sulla protezione dei dati personali senza adottare ulteriori provvedimenti, tenuto anche conto del fatto che l’episodio è stato unico e isolato, determinato da un errore umano di imbustamento, e che la asl, appena venuta a conoscenza dell’accaduto, ha adottato correttivi nella procedura di preparazione e consegna delle cartelle cliniche volti a prevenire, in futuro, il ripetersi di simili episodi.

Per quanto riguarda il secondo episodio la violazione di sicurezza segnalata al Garante dal policlinico aveva comportato l’inserimento in un Fse di un referto relativo ad un altro paziente. Anche in questo caso erano state violate le disposizioni in materia di riservatezza relative alla comunicazione a terzi di dati sulla salute della persona. Tuttavia, esaminate le circostanze del fatto concreto, il Garante, con il provvedimento del 9 luglio 2020, ha qualificato anche in questo caso la violazione come “minore”, ritenendo sufficiente ammonire il policlinico.  L’episodio infatti, unico e isolato, era stato causato anche stavolta da un errore umano non intenzionale e la struttura sanitaria, oltre ad aver informato l’interessato dell’accaduto, ha adottato accorgimenti organizzativi e iniziative formative volte a sensibilizzare il personale al rispetto delle disposizioni sulla protezione dei dati e delle procedure per la corretta identificazione dei pazienti.

I due episodi, di portata oggettivamente limitata, dimostrano come la sensibilizzazione del personale e la previsione di adeguate misure organizzative rappresentino, al pari delle misure tecniche, elementi essenziali della sicurezza del trattamento.

 

 

_______________________________

 

 

Buono mobilità: via libera del Garante privacy

Parere favorevole dell’Autorità privacy del 9 luglio 2020 allo schema di decreto che definisce le modalità e i termini per l’erogazione del c.d. “buono mobilità” per l’anno 2020 e la disciplina del “buono rottamazione”, previsti dal relativo Programma sperimentale allo scopo di ridurre le emissioni inquinanti e in risposta ai cambiamenti climatici.

Il buono mobilità è destinato ai maggiorenni residenti nei capoluoghi di Regione, nelle Città metropolitane, nei capoluoghi di Provincia e nei Comuni con popolazione superiore a 50.000 abitanti.

Lo schema di decreto - già sottoposto al Garante in una prima versione nel marzo del 2020 - è stato da ultimo modificato tenendo conto delle osservazioni fornite dall’Autorità nel corso di incontri e contatti con i competenti uffici del ministero.
Le osservazioni dell’Autorità privacy hanno riguardato, in particolare, le modalità di accesso all’applicazione web predisposta dal Ministero, le procedure di presentazione della domanda da parte dei potenziali beneficiari, nonché l’accertamento dei dati di questi ultimi attraverso il Sistema pubblico di identità digitale (SPID). Sono state fornite indicazioni sul monitoraggio del Programma da parte del Ministero e, soprattutto, sulle responsabilità soggettive rispetto al trattamento dei dati.

Con le modifiche apportate, lo schema è risultato nel suo complesso conforme alla disciplina in materia di protezione dei dati.

Il Garante ritiene però opportuno un perfezionamento del testo nella parte in cui prevede il ricorso alle dichiarazioni sostitutive, che devono essere rese dai beneficiari al momento della richiesta del bonus, al fine di esplicitare ove possibile le modalità e i soggetti presso i quali il Ministero effettua la verifica della sussistenza dei requisiti dichiarati.

Il “buono mobilità” corrisponderà al 60 per cento della spesa sostenuta per l’acquisto di biciclette, anche a pedalata assistita, e di veicoli elettrici, o per l’utilizzo dei servizi di mobilità condivisa a uso individuale. L’importo non sarà comunque superiore a 500 euro.

Ci sarà inoltre un “buono rottamazione”, previsto per i residenti nei Comuni sottoposti alle procedure di infrazione comunitaria per la non ottemperanza agli obblighi previsti dalla direttiva sulla qualità dell’aria (2008/50/CE) ammesso anche a favore dei conviventi.

 

 

______________________________

 

 

 

 

 

L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

 

- Covid 19: Faq del Garante privacy su app nazionale di contact tracing e app regionali - Comunicato del 13 luglio 2020

- Fatturazione elettronica: la precisazione del Garante privacy – Comunicato del 13 luglio 2020

- Fattura elettronica: Soro replica a Vincenzo Visco - Dichiarazione del 13 luglio 2020

- Operatori telefonici: continua l'attività di controllo del Garante privacy, sanzione a Wind per 17 milioni di euro e a Iliad per 800 mila euro - Comunicato del 13 luglio 2020

- Codici di condotta: approvati dal Garante i requisiti per l'accreditamento degli Organismi di monitoraggio - Comunicato del 9 luglio 2020

- Covid-19: pubblicate dal Garante due FAQ sull'uso di app di contact tracing in ambito aziendale - 6 luglio 2020

 

 

 

 

 

 

 

 

 

 

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751 - Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.garanteprivacy.it

 

 

 

 

 

 

Iscrizione alla Newsletter - Cancellazione dal servizio - Informazioni sul trattamento dei dati personali