NEWSLETTER N. 507 del 26 luglio 2023

• Giornalismo: stop a foto invasive in casa, anche se il personaggio è famoso
• Lavoro: il Garante Privacy ribadisce il no al controllo a distanza
• Sanità: il Garante privacy sanziona una società per uso di dati non anonimizzati
• Trasferimento dati verso gli Usa: i chiarimenti dei Garanti Ue

Giornalismo: stop a foto invasive in casa, anche se il personaggio è famoso
Legittima l’aspettativa di privacy. Il Garante sanziona un periodico

Una testata giornalistica deve rispettare la legittima aspettativa di riservatezza che si gode nella propria abitazione e deve sempre valutare, caso per caso, se le foto pubblicate rispettino o meno il principio di essenzialità dell’informazione e risultino di interesse pubblico.

Il Garante per la protezione dei dati personali ha sanzionato per 40mila euro un periodico per aver pubblicato scatti fotografici, che riprendevano momenti della vita privata di una persona nota a casa propria, in violazione dei principi generali del trattamento e delle regole deontologiche sull’attività giornalistica.

Le immagini ritraevano l’interessata, a sua insaputa, mentre era in compagnia di un conoscente dentro il proprio appartamento al quarto piano di una palazzina. Gli scatti, effettuati da un’auto parcheggiata in strada, rivelano un uso non corretto di “tecniche invasive” e, quindi, una raccolta di dati personali, anche strettamente privati che vìola i principi di correttezza e trasparenza. Neanche il fatto che il personaggio sia disponibile a sottoporsi ai "riflettori mediatici", come sostenuto dalla testata, può legittimare qualsiasi forma di raccolta e di utilizzo di dati e immagini che lo riguardano, tanto più in luoghi come l’abitazione dove è legittima l’aspettativa di riservatezza.

Non solo sono state acquisite illecitamente le immagini ma anche il loro successivo utilizzo ha violato le regole in materia di trattamento dei dati personali. La finalità dichiarata dal titolare – realizzare uno scoop sulla relazione sentimentale tra la segnalante e l’uomo ritratto nelle fotografie – per quanto possa farsi rientrare in un tipo di informazione giornalistica di interesse pubblico (almeno per una determinata utenza), non può giustificare la compressione del diritto al rispetto della vita privata dell’interessata, pur se personaggio pubblico.

Il Garante, oltre a ordinare il pagamento della sanzione, ha disposto il divieto di ulteriore diffusione delle fotografie, anche on line e nell’archivio storico della testata.

Lavoro: il Garante Privacy ribadisce il no al controllo a distanza
Sanzionata un’azienda per violazioni alla normativa privacy e allo Statuto dei lavoratori

Il rispetto della procedura di garanzia prevista dallo Statuto dei lavoratori e dal Codice privacy costituisce un requisito essenziale per la correttezza dei trattamenti dei dati personali dei lavoratori in azienda.

Non sono bastate le motivazioni presentate da un’azienda per evitare una sanzione di 20mila euro dal Garante per la protezione dei dati personali per aver installato un sistema di allarme la cui attivazione e disattivazione si basava sull’uso delle impronte digitali, un impianto di videosorveglianza e un applicativo per la geolocalizzazione di alcuni lavoratori. 

Le violazioni sono emerse dall’ispezione avviata dall’Autorità in collaborazione con il Nucleo speciale tutela privacy della Guardia di finanza, a seguito di una segnalazione.

In particolare, con riferimento al sistema di videosorveglianza, è stato accertato che lo stesso, oltre alle riprese delle immagini in diretta, era in grado di captare anche i suoni ed effettuare registrazioni; avevano accesso attraverso uno smartphone il legale rappresentante della società e la sua famiglia. L’applicativo permetteva all’utente di ammonire verbalmente gli interessati, attraverso le casse dell’impianto.

Dall’ispezione è emerso inoltre che l’azienda utilizzava un applicativo che, quand’era in uso, tracciava, tramite GPS, in modo continuativo, la posizione del dipendente nel corso della propria attività, nonché data e ora del rilevamento, determinando così un controllo del lavoratore non consentito.

Il trattamento dei dati effettuato attraverso il sistema di videosorveglianza e quello di localizzazione erano effettuati senza che i lavoratori avessero ricevuto un’adeguata informativa e fossero state attivate le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o, in alternativa, autorizzazione dell’Ispettorato del lavoro). Per quanto riguarda la videosorveglianza è stata rilevata anche l’assenza di cartelli informativi in loco.

Allo scopo di rinforzare ulteriormente le misure di sicurezza ai locali aziendali, la Società aveva installato anche un sistema di allarme la cui attivazione e disattivazione si basava sul trattamento dei dati biometrici (impronte digitali) di 21 soggetti, tra cui i dipendenti.

Al riguardo nel provvedimento è stato rilevato che il trattamento dei dati biometrici, di regola vietato in quanto dati rientranti nelle cc.dd. categorie particolari di dati (art. 9 GDPR), è consentito solo al ricorrere di una delle condizioni tassativamente previste dal paragrafo 2 dell’art. 9 GDPR e, per quanto riguarda i trattamenti effettuati nell’ambito del rapporto di lavoro, solo quando il trattamento sia necessario per assolvere gli obblighi ed esercitare i diritti del titolare del trattamento o dell’interessato e sia previsto da una disposizione normativa, circostanze non rinvenibili nel caso di specie.

Oltre al pagamento della sanzione, il Garante ha disposto il divieto del trattamento dei dati raccolti mediante il sistema di videosorveglianza e il monitoraggio continuo della posizione del lavoratore.

Sanità: il Garante privacy sanziona una società per uso di dati non anonimizzati*

* Con Ordinanza del 4 dicembre 2023, il Tribunale di Milano ha sospeso, tra l’altro, l’efficacia esecutiva dei capi del Provvedimento del Garante n. 226 del 1° giugno 2023 concernenti la pubblicazione del medesimo provvedimento sul sito web del Garante.

Il Garante privacy ha comminato una sanzione di 15mila euro a una società per aver trattato illecitamente i dati sanitari di numerosi pazienti raccolti presso circa 7mila medici di medicina generale (Mmg), senza adottare idonee tecniche di anonimizzazione.

L’Autorità si è attivata a seguito di una segnalazione di un medico di base che lamentava una presunta violazione della disciplina privacy da parte della società, impegnata nella realizzazione di un progetto internazionale volto a migliorare le cure dei pazienti attraverso la raccolta e l’analisi di dati sanitari.

A tal fine i Mmg aderenti all’iniziativa dovevano aggiungere al gestionale in uso -denominato “Medico 2000” e fornito da un’azienda informatica partner della società – un’ulteriore funzionalità (c.d. add-on) volta ad anonimizzare automaticamente i dati dei pazienti e trasmetterli in un data base della stessa società. In cambio i medici ottenevano una serie di vantaggi, tra cui un compenso economico.

Dall’istruttoria del Garante, è emerso che le funzionalità del c.d. add-on, indicate dalla società, non consentivano l’effettiva anonimizzazione delle informazioni acquisite dai Mmg e che pertanto la società ha effettuato un trattamento illecito di dati personali pseudonimizzati in violazione dei principi di liceità e trasparenza. La mera sostituzione dell’ID attribuito ai pazienti, con un sistema di crittografia o un codice hash irreversibile – ha sottolineato l’Autorità – non costituisce, in alcuna circostanza, misura idonea rispetto al requisito della rimozione delle singolarità (single out) necessario a qualificare l’operazione di trattamento come un’anonimizzazione. Principio espresso peraltro nel parere del 2014 dell’allora Gruppo di lavoro Articolo 29, in base al quale “affidarsi semplicemente alla solidità del meccanismo di crittografia quale misura di ‘anonimizzazione’ di un insieme di dati è fuorviante, in quanto molti altri fattori tecnici e organizzativi incidono sulla sicurezza generale di un meccanismo di crittografia o di una funzione di hash”.

Tra le altre violazioni accertate dal Garante privacy, vi è e anche l’erronea attribuzione del ruolo di titolare del trattamento ai medici di base, tenuto conto che finalità e mezzi del trattamento con particolare riferimento alla definizione delle tecniche di anonimizzazione risultavano definite dalla società.

Nel provvedimento, l’Autorità ha ritenuto necessario avvertire tutti i medici che l’utilizzo dell’add-on del gestionale “Medico 2000”, per come è configurato attualmente, integra una violazione della privacy dei pazienti.

Trasferimento dati verso gli Usa: i chiarimenti dei Garanti Ue
Dopo la decisione di adeguatezza della Commissione europea sul “Data Privacy Framework”

Il Comitato europeo per la protezione dei dati (Edpb) ha adottato una nota informativa rivolta alle persone fisiche e alle organizzazioni che trasferiscono dati negli Stati Uniti. Il documento intende fornire indicazioni sintetiche e oggettive sull'impatto della recente decisione di adeguatezza della Commissione Ue relativa ai trasferimenti di dati personali negli Usa, sulle implicazioni Data Privacy Framework (DPF) e sul nuovo meccanismo di ricorso in materia di sicurezza nazionale.

La nota chiarisce che i trasferimenti basati su decisioni di adeguatezza non devono essere integrati da misure supplementari, mentre i trasferimenti verso gli Stati Uniti non inclusi nell'elenco previsto dal DPF richiedono tutele adeguate, come clausole tipo di protezione dei dati o norme vincolanti d’impresa. A questo proposito, l'Edpb sottolinea che tutte le garanzie messe in atto dal governo degli Stati Uniti nell'ambito della sicurezza nazionale, compreso il meccanismo di ricorso (redress) si applicano a tutti i dati trasferiti negli Stati Uniti, indipendentemente dallo strumento di trasferimento utilizzato.

La nota informativa specifica inoltre che nell'ambito della sicurezza nazionale, i cittadini dell'UE, per avvalersi del nuovo meccanismo di ricorso, possono presentare un reclamo alla propria Autorità nazionale di protezione dati, indipendentemente dallo strumento utilizzato per trasferire i dati personali negli Stati Uniti.

Con la decisione adottata il 10 luglio 2023, la Commissione europea ha stabilito che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali trasferiti dall'UE a quelle organizzazioni statunitensi incluse nella lista indicata dal Data Privacy Framework, che è gestita e pubblicata dal Dipartimento del commercio Usa.

Va ricordato che lo scorso febbraio, il Comitato europeo per la protezione dei dati ha adottato il proprio parere sul progetto di decisione di adeguatezza della Commissione, con l’obiettivo di chiarire le implicazioni per gli interessati nell'UE e per le organizzazioni che trasferiscono dati personali negli Stati Uniti.

Il primo riesame della decisione di adeguatezza, per verificare la piena attuazione ed efficacia di tutti gli elementi, è previsto il prossimo anno. A seguito del primo riesame, e in funzione del suo esito, la Commissione definirà la cadenza dei riesami successivi, dopo aver consultato Edpb e Stati membri. Il riesame dovrà comunque essere effettuato almeno ogni quattro anni.

Leggi la nota informativa: https://edpb.europa.eu/our-work-tools/our-documents/other/information-note-data-transfers-under-gdpr-united-states-after_it

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

• Estate in privacy - I suggerimenti del Garante su selfie e foto, protezione di smartphone e tablet, acquisti online, uso di app, chat e social network quando si è in vacanza (e non solo) - 20 luglio 2023

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it