Sanzioni: il Garante interviene in due nuovi casi e inaugura l’attività ispettiva 2020

Recentemente sono giunti all’attenzione del Garante due casi di trattamento illecito dei dati relativi alla salute: in entrambi, la violazione è derivata dalla condotta negligente del personale in servizio presso gli Enti Titolari del trattamento e dalla mancata adozione di adeguate misure di sicurezza organizzative.

Analizziamone i dettagli.

Il caso del Comune

Il primo caso riguarda la sanzione irrogata al comune di Francavilla Fontana, a causa della pubblicazione di una determina dirigenziale per la liquidazione delle spese legali relative a un procedimento giudiziario in cui era stato parte il Comune, che riportava in chiaro i dati di una patologia riferita a un’istanza di riconoscimento dell’infermità per cause di servizio, presentata dal reclamante.

Dopo avere accertato la violazione della disciplina in materia di protezione dei dati personali e dunque l’indebita diffusione di informazioni relative alla salute del reclamante, il Garante ha rilevato un’ulteriore violazione, in quanto la stessa Determina pubblicata sull’Albo pretorio riportava anche le coordinate di conto corrente bancario dell’avvocato al quale dovevano essere liquidate le spese del procedimento.

Poiché il trattamento in questione è stato effettuato in contrasto con i principi di corretto trattamento, tra cui, in particolare, il principio di minimizzazione dei dati, l’Autorità ha dichiarato l’illiceità della condotta del Comune, ordinando il pagamento di una sanzione amministrativa di 10.000 euro.

…e il caso della Provincia

Il secondo caso riguarda invece un’articolazione della Provincia di Trento, che in prossimità dell’avvio dell’anno scolastico, aveva inviato una e-mail (contemporaneamente e con gli indirizzi in chiaro) a sedici genitori di bambini non in regola con l’obbligo delle vaccinazioni.

La violazione era stata tempestivamente notificata al Garante dalla Provincia autonoma di Trento, come disposto dall’art. 33 del Regolamento in materia di data breach.

L’Ufficio del Garante alla luce di quanto accaduto e secondo quanto prescritto dal Regolamento, afferma che:

Le informazioni oggetto della predetta e-mail, sono qualificabili dati relativi alla salute di minori, poiché tra i soggetti non in regola potrebbero essere ricompresi minori rientranti nei casi di esonero, omissione o differimento connesse a situazioni di morbilità, pregresse o attuali – temporanee o permanenti (art. 4, par. 1, n.15 del Regolamento);
il trattamento di dati personali sulla salute, ai sensi dell’art. 9, par. 1, del Regolamento è in generale vietato, salvo che si verifichi uno dei casi previsti dal par. 2, dello stesso articolo e nel rispetto dei presupposti di cui all’art. 2-sexies del Codice in materia di protezione dei dati personali;
la disciplina in materia di protezione dei dati personali prevede che le informazioni sullo stato di salute siano trattate sulla base di un idoneo presupposto giuridico (art. 9 del Regolamento);
il Regolamento, stabilisce inoltre, che i dati personali, devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento).
il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di «liceità, correttezza e trasparenza» nonché di «minimizzazione», in base ai quali i dati personali devono essere «trattati in modo lecito, corretto e trasparente nei confronti dell’interessato» e devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. a) e c), del Regolamento);

Per un adeguato trattamento dei dati, sarebbe stato più corretto inviare l’e-mail a ciascun genitore in modo personalizzato, o utilizzando lo strumento della copia conoscenza nascosta (ccn), per rendere ogni indirizzo riservato.

Di conseguenza l’Autorità, oltre ad aver dichiarato illecito il trattamento, ha ammonito la Provincia a conformare l’invio di comunicazioni alle disposizioni e ai principi che tutelano i dati personali.

La tutela dei dati particolari

È opportuno ribadire che quando si trattano dati particolari è necessario adottare le cautele e misure di sicurezza adeguate ai procedimenti posti in essere (sfruttando le diverse metodologie a disposizione: oscuramento dei dati, anonimizzazione, ecc) per evitare di incorrere in gravi sanzioni.

Infatti, nonostante l’art. 9 par.1 del GDPR preveda il divieto generale di trattare dati particolari relativi alla salute della persona, sono previste comunque delle deroghe (ex art. 9.par 2) in tal senso qualora, ad esempio, l’interessato abbia espresso uno specifico consenso al trattamento (o in relazione a specifiche esigenze), quando necessario per assolvere gli obblighi in tema di diritto del lavoro e sicurezza sociale, sanità pubblica, o per motivi di interesse pubblico (…).

L’attività ispettiva del 2020

Non a caso l’attività ispettiva curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, riferita al periodo gennaio-giugno 2020, prevede tra i vari ambiti di intervento – proprio per ricalcare la necessità di una maggiore tutela di questi dati – accertamenti nell’ambito di:

trattamenti di dati personali effettuati da Enti pubblici relativamente alla c.d. medicina di iniziativa;
trattamenti di dati relativi alla salute effettuati da società multinazionali operanti nel settore farmaceutico e sanitario.

I controlli si concentreranno anche sull´adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano particolari categorie di dati personali, sul rispetto delle norme sulla informativa e il consenso, sui tempi di conservazione dei dati.

Ovviamente quelli sopra indicati sono solo due degli ambiti oggetto delle ispezioni, che interesseranno anche i trattamenti effettuati da intermediari per la fatturazione elettronica, i trattamenti effettuati da società rientranti nel settore “Food Delivery” e i trattamenti effettuati da società private in tema di banche reputazionali.

Ricordiamo infine che proprio la protezione dei dati e, nello specifico, il trattamento dei dati sanitari sarà una delle tematiche che affronteremo in occasione del Mastercourse ANORC, diretto dall’avv. Andrea Lisi.
La sessione primaverile si svolgerà a Roma a partire dal 1 aprile.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Sanzioni: il Garante interviene in due nuovi casi e inaugura l’attività ispettiva 2020

Il caso del Comune

…e il caso della Provincia

La tutela dei dati particolari

L’attività ispettiva del 2020

Open SIPA Day

Master PERF.ET

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Di

NEWSLETTER

Lecce

Milano

Roma

Biella

NAVIGA