Newsletter del 4.2.16 - Sanità on line, attenzione ai dati degli assistiti -...
Newsletter del 4.2.16 - Sanità on line, attenzione ai dati degli assistiti - Tlc, no alla pesca a strascico sul web per formare gli elenchi telefonici
|
|||
|
|
||
Chiunque poteva consultare e modificare i dati degli assistiti che si erano registrati al portale di una Asl e il Garante della privacy interviene d´urgenza a bloccare [doc. web n. 4630534] la sezione del sito e fermare la violazione della riservatezza. L´anomalia segnalata all´Autorità era stata scoperta per caso da un utente mentre utilizzava i servizi on-line offerti dall´Azienda sanitaria. Non occorreva essere pirati informatici per accedere ai dati di altre persone: era sufficiente compilare a caso - anche inserendo parte di un nome o di un cognome - uno dei campi di ricerca presenti nella sezione dedicata agli assistiti per consultare tutte le schede anagrafiche trovate, nelle quali erano riportati l´indirizzo di residenza, il codice fiscale o il numero di telefono degli assistiti. Non solo. Dai riscontri effettuati dal Garante, è emerso che qualunque utente, senza trovarsi di fronte ad alcun filtro, poteva addirittura modificare questi dati o cancellare l´account delle persone che si erano registrate sul sito. Nel provvedimento con il quale ha vietato l´ulteriore diffusione dei dati, il Garante ha ricordato che le pubbliche amministrazioni che offrono servizi in rete sono obbligate ad adottare misure di sicurezza per ridurre al minimo i rischi di accesso non autorizzato o di trattamenti di dati non consentiti. Sul sito della Asl, al contrario, non era presente neppure una procedura di identificazione informatica che consentisse l´individuazione del soggetto che richiedeva il servizio on line, in modo tale da limitare al solo interessato l´accesso ai dati personali che lo riguardano. L´Autorità ha imposto alla Azienda sanitaria locale di intervenire entro 48 ore dalla ricezione del provvedimento per risolvere il problema.Prescrizione che la Asl ha prontamente adempiuto, bloccando l´accesso indiscriminato ai dati. Non sono però state ancora accertate le cause dell´errato funzionamento del portale sanitario,che potrebbero essere legate a errori di impostazione o di progettazione informatica del sistema, come pure ad attacchi hacker dall´esterno. L´Autorità si è riservata di approfondire il caso, ma al contempo ha avviato un autonomo procedimento sanzionatorio contro la Asl per le violazioni riscontrate. |
|
||
|
|||
Tlc, no alla pesca a strascico sul web per formare gli elenchi telefonici |
|||
No ai software che "pescano" on line in maniera sistematica e indiscriminata dati e informazioni per realizzare elenchi telefonici. Le società che intendono costituire questo tipo di pubblicazione, cartacea o on line, devono utilizzare il data base unico (dbu), l´archivio elettronico che raccoglie numeri di telefono e altri dati dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile. In alternativa, devono acquisire il consenso libero, informato, specifico per ogni finalità che si intende perseguire (come la consultazione on line dell´elenco o la "ricerca inversa" delle generalità di un abbonato attraverso il numero di telefono).
Questi principi sono stati ribaditi dal Garante privacy che ha dichiarato illecito e ha vietato ad una società la formazione e la diffusione on line di un elenco telefonico contenente dati di oltre 12.500.000 persone non raccolti dal dbu ma da altri siti web (mediante web scraping) senza il consenso degli utenti [doc. web n. 6053915]. I dati trattati in modo illecito dovranno essere cancellati dalla società.
Le numerose segnalazioni pervenute all´Autorità lamentavano la diffusione sul sito della società di un elenco telefonico on line contenente vari dati personali (nome e cognome, indirizzo, recapito telefonico, a volte anche utenze riservate, numero di cellulare o indirizzo email) raccolti senza consenso. Alcuni segnalanti, inoltre, associavano la ricezione di telefonate promozionali indesiderate alla messa a disposizione dei propri dati sul sito. Dagli accertamenti effettuati è emerso che la società gestiva un sito in cui aggregava e rendeva disponibili i numeri di telefonia fissa e altri dati personali raccolti in maniera automatica e sistematica attraverso script lanciati direttamente sulle fonti web acquisendone i contenuti (web scraping). Gli script, come affermato dalla società, erano impostati in modo tale da raccogliere qualsiasi informazione pubblicata su fonti web accessibili a tutti, per poi metterla a disposizione degli utenti del sito della società.
Nel disporre il divieto il Garante ha riaffermato le regole sulla formazione degli elenchi telefonici e ha ritenuto la pubblicazione on line di un elenco telefonico non tratto dal dbu e senza il consenso degli interessati un trattamento particolarmente invasivo per l´agevole reperibilità dei dati anche mediante i più comuni motori di ricerca e per la possibilità che essi possano essere utilizzati anche per ulteriori trattamenti (ad es. marketing indesiderato).
L´Autorità sta valutando l´applicazione di una sanzione amministrativa per gli illeciti commessi dalla società.
|
|
||
|
|||
|
|||
Parere favorevole [doc. web n. 4630606] del Garante privacy, seppure condizionato ad alcune modifiche e integrazioni, ad uno schema di decreto del Ministero della salute che riguarda l´istituzione del sistema informativo per il Monitoraggio della Rete di Assistenza (MRA), nell´ambito del Nuovo Sistema Informativo Sanitario (NSIS). Il sistema MRA si prefigge di favorire il raggiungimento di obiettivi di governo da parte dei diversi livelli interessati (ministeriale, regionale e aziende sanitarie) anche al fine di razionalizzare la spesa, e di informare i cittadini sulla rete di assistenza sanitaria nel nostro paese. Il sistema di monitoraggio opererà istituendo un´unica anagrafe di riferimento a livello nazionale di tutte le strutture della rete sanitaria (ASL, strutture di ricovero autorizzate, strutture territoriali accreditate, farmacie pubbliche e private convenzionate, strutture territoriali autorizzate e non accreditate, medici di medicina generale e pediatri di libera scelta convenzionati con il Sistema sanitario nazionale). Il MRA consentirà la consultazione delle informazioni, in forma analitica e aggregata alle Regioni e alle Province autonome, al Ministero della salute, al Ministero dell´economia e delle finanze, all´Agenzia nazionale per i servizi sanitari regionali, all´ISTAT. I dati del Sistema MRA potranno inoltre essere messi a disposizione di soggetti appositamente autorizzati dalla Direzione generale della digitalizzazione del Ministero della Salute, cui è affidata la realizzazione e la gestione del sistema e ai cittadini mediante il sito internet dello stesso Ministero. Esaminato lo schema, il Garante ha segnalato l´esigenza di apportare alcune mirate modifiche e integrazioni per conformare il testo alle garanzie in materia di protezione dei dati personali. L´Autorità ha chiesto, ad esempio, di precisare quali dati personali saranno resi disponibili sul sito del Ministero, nel rispetto dei principi di pertinenza e non eccedenza. Potrebbe infatti non essere giustificata la pubblicazione on line del codice fiscale del medico, che comporterebbe il rischio di furto d´identità. Il Garante ha chiesto inoltre di chiarire i ruoli e le responsabilità delle Regioni e Province autonome, da un lato, e del Ministero della salute, dall´altro, rispetto al flusso delle informazioni che riguardano i medici di medicina generale e i pediatri di libera scelta; di indicare i tempi di conservazione dei dati personali, trascorsi i quali i dati devono essere cancellati o resi anonimi; di individuare le informazioni contenute nei file di log con cui si registrano gli accessi; di precisarne i tempi di conservazione e di proteggerli con idonee misure contro ogni uso improprio. |
|
||
|
|||
L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ |
|||
|
|||
NEWSLETTER |