Newsletter 08/2024

OSSERVATORIO VECOMP

Oblio oncologico: le FAQ del Garante
Che cos’è il diritto all’oblio oncologico? Le banche, le assicurazioni e i datori di lavoro possono chiedere informazioni su una patologia oncologica conclusa da diversi anni? Una persona clinicamente guarita può adottare un bambino?

A queste e ad altre domande rispondono le FAQ pubblicate dal Garante per la protezione dei dati personali. L’obiettivo è quello di prevenire le discriminazioni e tutelare i diritti delle persone che sono guarite da malattie oncologiche. Il documento, oltre a fornire chiarimenti ai cittadini sul diritto all’oblio oncologico (Legge n. 193/2023) dà indicazioni utili a tutti i datori di lavoro pubblici e privati e a banche, assicurazioni, intermediari del credito e finanziari affinché possano applicare correttamente la nuova normativa.
Il compito di vigilanza sulla corretta applicazione della legge è affidato al Garante Privacy, il quale in caso di eventuali violazioni della disciplina sulla protezione dei dati potrà infliggere le sanzioni previste dal GDPR. Inoltre, viene chiarito che la normativa vieta a banche, assicurazioni, e a tutti i datori di lavoro (sia nella fase di selezione del personale sia durante il rapporto lavorativo), di richiedere all’utente e al dipendente informazioni su una patologia oncologica da cui sia stato precedentemente affetto e il cui trattamento si sia concluso - senza episodi di recidiva – da più di dieci anni (ridotti a cinque se il soggetto aveva meno di 21 anni al momento in cui è insorta la malattia).
 
Data: 9 agosto 2024
Fonte : Garante della Privacy




 

IN PRIMO PIANO

Intelligenza artificiale, Garante: sì al DDL ma con le dovute cautele
Chieste ulteriori misure a protezione dei dati personali

Parere favorevole del Garante Privacy sullo schema di disegno di legge governativo sull'IA, recante anche delega legislativa per l’adeguamento al Regolamento Ue sull’Intelligenza Artificiale (n. 2024/1689 – AI Act).
Il disegno di legge disciplina ricerca, sperimentazione, sviluppo, adozione e applicazione dei sistemi e modelli di Intelligenza Artificiale (IA) nei diversi settori della società (sanità, giustizia, lavoro e professioni, sicurezza e difesa nazionale, etc.).
Nel dare il proprio parere favorevole al testo, il Garante ha tuttavia chiesto al Governo di integrarlo in più parti per garantire una maggiore tutela dei dati personali dei cittadini.
In particolare, l’Autorità ha chiesto di introdurre un nuovo articolo per precisare che i trattamenti di dati personali effettuati attraverso i sistemi di intelligenza artificiale devono rispettare la normativa privacy nazionale ed europea. Il testo, inoltre, dovrà essere integrato con uno specifico riferimento a sistemi adeguati di verifica dell’età (c.d. age verification) in grado di garantire limitazioni o divieti all’uso dei sistemi di IA da parte dei minori.
Nel caso poi di utilizzo di sistemi di IA in ambito sanitario ad alto rischio, il Garante ha chiesto di indicare particolari limitazioni per l’utilizzo dei dati (conservazione, divieto di trasmissione, trasferimento o comunicazione) e la preferenza per l’uso di dati sintetici o anonimi.
È stato inoltre richiesto di indicare il Garante - come previsto nell’AI Act - quale Autorità competente per i sistemi di Intelligenza Artificiale ad alto rischio utilizzati ad es. per le attività di law enforcement, identificazione biometrica remota, riconoscimento delle emozioni, gestione delle frontiere, amministrazione della giustizia e processi democratici.
 
Data: 9 agosto 2024
Documento: Parere del Garante

DOMANDE E RISPOSTE

Quando deve essere fornita l'informativa secondo il nuovo Regolamento Privacy?
Nel caso di dati personali non raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta dei dati personali, questo secondo quanto previsto dall'art. 14 del Regolamento europeo 2016/679.
 
Cos'è il trattamento dei dati personali?
Per trattamento si intende qualsiasi azione eseguita sui dati personali o su un set di dati personali, utilizzando o meno una procedura automatizzata. Esempi di trattamento includono la raccolta, la registrazione, l'organizzazione, la strutturazione, l'archiviazione, l'adattamento o la modifica, il recupero, la consultazione, l'uso, la divulgazione mediante trasmissione, diffusione o altro mezzo per mettere a disposizione, allineare o combinare, limitare, cancellare o distruggere dati. Fondamentalmente, qualsiasi cosa che puoi immaginare di poter fare con i dati personali viene considerata trattamento.
 
Cos'è l'anonimizzazione?
Anonimizzazione significa rendere anonimi i dati personali in modo tale che il soggetto interessato non sia più identificabile. Ciò richiede che tutti gli identificatori, utilizzati da un responsabile del trattamento o da un'altra persona, siano ragionevolmente identificati e che l'individuo venga rimosso. Le informazioni che sono realmente anonime non sono coperte dal GDPR.
 
Cos'è la pseudonimizzazione?
Con pseudonimizzazione si indica il trattamento dei dati personali in modo tale che non possano più essere collegati a un soggetto interessato specifico senza l'utilizzo di informazioni aggiuntive. Le informazioni aggiuntive sono conservate separatamente e sono soggette a misure tecniche e organizzative al fine di garantire che i dati personali non siano attribuiti a una persona fisica identificata o identificabile. Le informazioni a cui sono stati rimossi o sostituiti gli identificatori al fine di pseudonimizzare i dati sono ancora considerate dati personali ai sensi del GDPR.
 
Cos'è la profilazione?
La profilazione è qualsiasi forma di trattamento automatizzato dei dati personali che valuta aspetti personali, in particolare al fine di analizzare o prevedere aspetti che riguardano le tue preferenze o interessi personali, l'affidabilità o il comportamento, la posizione o i tuoi movimenti.
 
Cos'è il consenso?
Il consenso è l'atto chiaro e inequivocabile che stabilisce l'indicazione fornita liberamente, specifica, informata ed esplicita che indica che il soggetto interessato fornisce il proprio consenso al trattamento dei propri dati personali.
Se il trattamento di dati personali richiede la fornitura di un consenso, tale consenso deve essere ottenuto separatamente. La fornitura di un'informativa sulla privacy non sostituisce l'ottenimento del consenso.