NEWSLETTER N. 504 del 22 giugno 2023

• Cimitero dei feti: dal Garante privacy pesanti sanzioni a Comune di Roma e Ama
• Centri di giustizia riparativa: via libera del Garante privacy
• Credito: dal Garante 40mila euro di multa a Volkswagen leasing
• Data breach: il Garante privacy sanziona una Asl veneta

Cimitero dei feti: dal Garante privacy pesanti sanzioni a Comune di Roma e Ama. Ammonimento per la Asl Roma 1

Non solo i dati sull’interruzione di gravidanza rientrano tra i dati relativi alla salute, di cui è vietata la diffusione, ma la legge 194 del 1978 prevede un rigoroso regime di riservatezza.

Il Garante privacy ha sanzionato per 176mila euro Roma Capitale e per 239mila euro Ama, società in-house cui è affidata la gestione dei servizi cimiteriali, per aver diffuso i dati delle donne che avevano affrontato un’interruzione di gravidanza, indicandoli su targhette apposte sulle sepolture dei feti presso il Cimitero Flaminio. Ammonimento per la Asl Roma 1.

La vicenda era salita agli onori della cronaca nell’ottobre del 2020. Secondo la disciplina di riferimento, i “prodotti del concepimento” di età inferiore alle 20 settimane possono essere sepolti solo su richiesta dei “genitori”, mentre la sepoltura è sempre prevista per i “nati morti”. Per i “prodotti abortivi”, invece, la sepoltura viene comunque disposta dalla struttura sanitaria dopo 24 ore, anche senza richiesta dei genitori.

Dall’istruttoria del Garante è emerso che la diffusione illecita è stata originata da una comunicazione di dati effettuata in violazione del principio di minimizzazione.

La Asl RM 1 aveva trasmesso ai servizi cimiteriali la documentazione con i dati identificativi delle donne. Le informazioni erano state poi riportate nei registri cimiteriali (determinando potenzialmente la possibilità di estrarre l’elenco di chi aveva effettuato un‘interruzione di gravidanza in tutte le strutture ospedaliere del territorio) e sulle croci, nonostante la normativa specifica preveda che, per l’apposizione della targhetta sul cippo, le informazioni da indicare siano quelle del defunto; quindi tali informazioni non possono in alcun modo essere assimilate a quelle che riguardano le donne che hanno avuto una interruzione di gravidanza.

Oltre ad aver applicato la sanzione nei confronti di Roma Capitale e Ama, il Garante ha pertanto ordinato all’Azienda sanitaria di non riportare più le generalità “in chiaro” sulle autorizzazioni al trasporto e alla sepoltura e sui certificati medico legali.

Nel provvedimento l’Autorità ha inoltre indicato alla Asl alcune misure tecniche e/o organizzative (come l’oscuramento dei dati identificativi delle donne, la pseudonimizzazione o la cifratura dei dati) che garantirebbero la possibilità di individuare con certezza il prodotto del concepimento e il luogo della sua sepoltura, senza consentire – in modo diretto – di risalire all’identità della donna.

Nell’ottica del principio di responsabilizzazione, la scelta e l’adozione delle misure compete in ogni caso alla Asl, che è tenuta a comunicarle al Garante entro 60 giorni.

Centri di giustizia riparativa: via libera del Garante privacy
Parere favorevole sul regolamento che disciplina il trattamento dei dati

Il Garante per la protezione dei dati personali ha espresso parere favorevole su uno schema di regolamento che disciplina il trattamento dei dati effettuato dai Centri per la giustizia riparativa. Considerato il contesto e la natura dei dati, l’Autorità ha tuttavia chiesto al Ministero della giustizia di perfezionare il testo con alcune integrazioni e precisazioni volte a migliorare il livello delle garanzie, accordate agli interessati, sotto il profilo della protezione dei dati personali.

Istituiti presso gli enti locali, i Centri realizzano, con l’aiuto di mediatori esperti, percorsi di giustizia riparativa, quale nuova e possibile fase del procedimento penale, in cui autore del reato e vittima (oltre eventualmente ad altri soggetti che possono essere coinvolti) tentano di pervenire a un esito conciliativo.

Lo schema di regolamento, pur non presentando particolari criticità, dovrà essere integrato inserendo un richiamo espresso al principio di minimizzazione per sottolineare l’esigenza di una adeguata selezione dei dati suscettibili di trattamento: in particolare di quelli genetici o biometrici, o che rivelino informazioni su salute, vita sessuale, opinioni politiche, convinzioni religiose, o siano relativi a condanne penali e reati.

Da precisare, inoltre, sempre in funzione del buon esito dei programmi di giustizia riparativa, che la raccolta di dati come il nickname o l’accountname dei partecipanti è ammessa solo se necessaria.

Per quanto riguarda la video-audio-registrazione degli incontri, il Garante ha chiesto di chiarire che questa possibilità sia limitata ai casi nei quali la verbalizzazione non si ritenga sufficiente e sia necessario disporre di una documentazione che rappresenti anche la gestualità e l’espressione emotiva delle parti.

I Centri di giustizia riparativa dovranno, infine, adottare adeguate misure tecniche e organizzative per garantire la tutela e la sicurezza dei dati personali trattati nell’ambito del programma ed effettuare la valutazione d’impatto prevista dal Regolamento europeo sulla privacy.

Credito: dal Garante 40mila euro di multa a Volkswagen leasing
La società deve fornire al cliente anche le informazioni avute dai Sic

Le società finanziarie non possono rifiutarsi di comunicare ai clienti le informazioni sulla loro affidabilità creditizia che hanno portato al diniego del finanziamento richiesto.

Lo ha stabilito il Garante privacy con un provvedimento con il quale ha accertato l’illiceità del trattamento dei dati e sanzionato Volkswagen leasing con una multa di 40mila euro.

L’Autorità si è attivata a seguito di un reclamo presentato da un cliente che non riusciva ad ottenere un completo riscontro alle richieste di accesso ai propri dati personali avanzate allo scopo di conoscere le motivazioni del rifiuto della propria richiesta di finanziamento.

La società si era infatti limitata a fornire al cliente solo copia della documentazione che aveva presentato per richiedere il finanziamento, con l’indicazione di aver consultato un Sistema di informazioni creditizie (Sic). Lo aveva inoltre invitato a contattare direttamente il Sic per conoscere le informazioni sulla valutazione della propria affidabilità creditizia.

L’Autorità ha invece ribadito l’obbligo del titolare del trattamento di fornire tutte le informazioni acquisite presso il Sic ed effettivamente trattate.

Dall’istruttoria del Garante è poi emerso che la società aveva rifiutato la richiesta di finanziamento proprio perché, dopo aver consultato il Sic, era venuta a conoscenza della posizione di inaffidabilità creditizia del cliente. Il parziale riscontro del titolare ha dunque impedito al cliente di verificare l’esattezza delle informazioni trattate per decretare il diniego del finanziamento richiesto.

Il Garante, ricordando che il titolare del trattamento è tenuto a fornire l’accesso ai dati personali dell’interessato in forma completa e aggiornata, ha pertanto sanzionato Volkswagen leasing per non aver fornito tempestivo e corretto riscontro all’istanza di accesso ai propri dati personali avanzata dal cliente.

Data breach: il Garante privacy sanziona una Asl veneta
Inviati i certificati di esenzione dal ticket sanitario ai pazienti sbagliati

Le aziende sanitarie devono adottare tutte le misure tecniche e organizzative necessarie per evitare che i dati dei pazienti siano comunicati per errore ad altri destinatari.

Lo ha ribadito il Garante per la privacy nel sanzionare un’azienda sanitaria del Veneto per una violazione di dati personali (data breach), che ha coinvolto 39.852 assistiti, minori di 6 anni e maggiori di 65, con reddito inferiore a 36.151,98 euro.

I pazienti avevano ricevuto nella cassetta della posta il certificato contenente i dati personali (nome, cognome, luogo e data di nascita, codice fiscale, codice di esenzione) di un altro assistito.

Dalle verifiche effettuate dall’Autorità - a seguito della ricezione di alcuni reclami e della notifica di data breach da parte dell’Asl - è emerso che la violazione era stata causata da un problema tecnico di disallineamento dei dati nel database contenente le anagrafiche dei pazienti.

La sanzione, di 10mila euro, è stata calcolata tenendo conto che l’azienda sanitaria ha immediatamente dimostrato un elevato grado di collaborazione con il Garante e che l’episodio è risultato isolato e non volontario.

L’azienda, inoltre, ha pianificato ulteriori misure per ridurre al minimo eventuali futuri errori, in particolare mediante l’attivazione di un portale online attraverso cui sarà possibile scaricare direttamente i certificati d’esenzione in formato digitale.

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

• G7 dei Garanti privacy: elevare standard di protezione per una libera circolazione dei dati. La Vice Presidente del Garante italiano, Ginevra Cerrina Feroni, dà appuntamento al G7 Privacy del 2024 che si terrà in Italia – Comunicato del 21 giugno 2023

• Oggi a Tokyo il G7 delle Autorità privacy. Per il Garante italiano sarà presente la Vicepresidente Ginevra Cerrina Feroni – 20 giugno 2023

• "Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali". On line la nuova pubblicazione del Garante – 16 giugno 2023

• Garante Privacy alla Asl 1 Abruzzo: 15 giorni per comunicare il data breach agli interessati – 15 giugno 2023

• TikTok: Garante privacy chiede informazioni su presunto accesso a dati di utenti da parte della Cina - 10 giugno 2023

• Telemarketing selvaggio. Non si ferma l’azione del Garante privacy: nuove sanzioni alle società energetiche e telefoniche – Comunicato del 9 giugno 2023

• Telemarketing selvaggio: il Garante privacy confisca banche dati – Comunicato del 6 giugno 2023

• Garante privacy e Co.Re.Com Lombardia insieme per tutelare i minori online
  Oggi la presentazione del protocollo d’intesa per contrastare cyberbullismo e revenge porn – Comunicato del 30 maggio 2023

   

   

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it