OSSERVATORIO VECOMP
 

I numeri delle sanzioni dal Garante: Italia prima in classifica
Aumento delle sanzioni europee per le violazioni del GDPR. L’Italia è al primo posto con più di 69 milioni di euro in multe.

Tocca quota 272,5 milioni di euro il totale delle sanzioni inflitte dai Garanti privacy europei per violazione del GDPR da maggio 2018: complessivamente sono state accertate oltre 281.000 notifiche di violazione dei dati personali. Nell’ultimo anno, dal 28 gennaio 2020 a oggi, sono state rilevate in media 331 violazioni al giorno: un incremento del 39% rispetto ai due anni precedenti.
I dati sono riportati nella ricerca elaborata dallo Studio Legale DLA Piper dal titolo:“Dla Piper GDPR fines and data breach survey: January 2021”. In cima alla classica Germania (77.747), Paesi Bassi (66.527) e Regno Unito (30.536) per numero di data breach notificate alle autorità di regolamentazione.
Il Garante della privacy italiano è primo in classica per multe, con un totale di 69,3 milioni, seguito da Germania e Francia rispettivamente con 69,1 e 54,4 milioni. Le sanzioni partono dal 25 maggio 2018, giorno di entrata in vigore della nuova normativa sulla privacy.
Il report dimostra come negli ultimi 12 mesi il mondo della privacy sia stato caratterizzato da un aumento di multe e sanzioni. Le multe italiane più elevate sono collegate, per la maggior parte dei casi, al trattamento dei dati personali nel mondo del telemarketing e riguardano la mancanza di validità del consenso, violazioni nel trasferimento dei dati, mancanza sui controlli sulla corretta operatività dei call center.

Data: 12 febbraio 2021
Approfondisci qui

Cosa cambierà col Regolamento ePrivacy?
Il Consiglio UE ha approvato una proposta per la revisione della direttiva e-Privacy. L’obiettivo principale è garantire la massima riservatezza delle comunicazioni elettroniche.

ll Consiglio Europeo il 10 febbraio ha approvato un mandato negoziale finalizzato alla revisione delle norme del Regolamento ePrivacy, in materia di tutela della vita privata e della riservatezza nell’uso dei servizi di comunicazione elettronica. L’obiettivo principale del nuovo testo sarà quello di garantire la massima riservatezza delle comunicazioni elettroniche, incluse le comunicazioni di dati che avvengono tramite dispositivi dell’Internet delle cose (IoT) e le attività di direct marketing e telecomunicazioni al fine di tutelare gli utenti finali da fenomeni di abuso dei propri dati.
Il processo di revisione ha avuto inizio nel 2017 e si è ritenuto necessario per armonizzare la precedente direttiva, ai principi del GDPR ed agli ultimi sviluppi tecnologici e digitali che hanno innovato il settore delle comunicazioni.
Il nuovo regolamento si applicherà nei confronti di tutti gli utenti finali che si trovano nell’UE: al pari di quanto previsto dal GDPR, ciò comporterà l’applicazione delle norme in esame anche nei casi in cui il trattamento dei dati avviene al di fuori del territorio UE o nei casi in cui i fornitori siano ubicati al di fuori dell’UE.
Ma cosa riguarda il Regolamento ePrivacy?
Il documento si occupa di definire le regole per:

• le condizioni e i termini di utilizzo, nell’attività di direct marketing, dei dati raccolti dalle vendite;
• i metodi di acquisizione dei cookies e degli strumenti di tracciamento (prevedendo, ad esempio, il divieto di utilizzare cookie banner o cookie wall);
• le modalità di trattamento dei dati contenuti nelle comunicazioni elettroniche ossia il contenuto dei messaggi scambiati) e, in particolare, dei metadati delle comunicazioni elettroniche (ossia, i dati utilizzati per tracciare e identificare la fonte e il destinatario di una comunicazione, i dati relativi alla localizzazione del dispositivo, la data, l’ora, la durata e il tipo di comunicazione), questi ultimi da ritenersi sensibili ove consentano di trarre precise conclusioni sulla vita privata degli utenti, sulle loro relazioni sociali, le abitudini, gli interessi, i gusti e le attività quotidiane.

Data: 10 febbraio 2021
Documento PDF
Link Consiglio UE

 

HYSTORIES

• L’Azienda Ospedaliera Senese ha ricevuto la sanzione di 10.000 euro per aver spedito via posta, al paziente sbagliato, una relazione medica contenente le informazioni sulla salute e la vita sessuale di un’altra coppia.  
• Anche l’Azienda Ospedaliera di Parma ha ricevuto la sanzione di 10.000 euro per aver consegnato a dei pazienti cartelle cliniche contenenti dati e referti riferibili ad altre persone, incluso un minore. In entrambi i casi le sanzioni sono state calcolate tenendo conto che le strutture sanitarie hanno immediatamente dimostrato un elevato grado di cooperazione con il Garante e che gli episodi sono risultati isolati e non volontari. Le due strutture hanno anche pianificato ulteriori misure tecniche e organizzative per ridurre al minimo l’errore umano.
• Il terzo caso riguarda invece l’Azienda USL Romagna, dove una paziente aveva esplicitamente richiesto – sottoscrivendo un apposito modulo – che nessun soggetto esterno, neppure i familiari, fosse informato sul suo stato di salute. Il modulo, però, era stato inserito all’interno della cartella clinica. Un’infermiera del reparto dove la donna stava seguendo delle terapie, non essendo a conoscenza della richiesta, invece che contattarla sul telefono cellulare privato, aveva chiamato il numero di casa registrato nell’anagrafe aziendale, parlando così con un familiare. Anche in questo caso, l’Azienda ha riconosciuto gli errori che hanno causato il data breach. Si è impegnata quindi ad implementar un sistema informatizzato di gestione dei numeri di telefono dei pazienti ricoverati, e a predisporre una modulistica unica con la quale i pazienti potranno esprimere la loro eventuale volontà di comunicare informazioni sul proprio stato di salute ai terzi, introducendo una specifica policy aziendale. La Asl, che ha subito anche una richiesta di risarcimento danni da parte della paziente, dovrà pagare una sanzione di 50.000 euro per la violazione del GDPR.

No all’uso delle impronte digitali dei dipendenti
Il Garante ha sanzionato per 30.000 euro l’Azienda sanitaria provinciale (Asp) di Enna per l’utilizzo di un sistema di rilevazione delle presenze basato sul trattamento di dati biometrici dei dipendenti.

Il Garante ha dichiarato illecito il trattamento dei dati biometrici applicando all’Asp di Enna  30.000 euro di sanzione in quanto:

• “la base normativa invocata era carente, non essendo stato adottato il regolamento attuativo della Legge 56/2019 (poi abrogata) che doveva stabilire garanzie per circoscrivere gli ambiti di applicazione e regolare le principali modalità del trattamento”.
• la struttura sanitaria, pur avendo informato il personale e i sindacati della scelta organizzativa compiuta, non aveva fornito tutte le informazioni sul trattamento, come richiesto dal GDPR.

DOMANDE E RISPOSTE

Il codice Iban è un dato personale?
Si, secondo la recente sentenza della Cassazione (Sentenza n. 4475/2021), il codice Iban è un dato personale ai sensi del GDPR. Si considerano infatti «dati personali» tutte le informazioni «relative a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale».
 
Il Medico Competente è un Responsabile del trattamento?
No, secondo un Parere del Garante il medico competente è un Titolare autonomo dei dati.  Unico legittimato a trattare i dati sanitari dei lavoratori per le finalità indicate dalle Legge 81/2008 in materia di igiene e sicurezza nei luoghi di lavoro.
 
I Fornitori sono da considerare tutti Responsabili del trattamento?
Non è detto. Va fatta una valutazione del contesto: vanno considerati aspetti importati della fornitura:

• Quale servizio offre il fornitore?
• È previsto un trattamento di dati personali nel rapporto?
• È già chiaro il ruolo con il Fornitore in termini GDPR o va chiarito?
• È presente un DPA del Fornitore o documenti simili a supporto del suo ruolo?Infine, gli obblighi del responsabile del trattamento nei confronti del titolare del trattamento devono essere specificati in un contratto o in un altro atto giuridico.

 
Quanto conservare i dati della videosorveglianza?
Salvo specifiche disposizioni, spetta all’azienda individuare i tempi di conservazione delle immagini in caso di videosorveglianza, anche nei luoghi di lavoro. È uno dei chiarimenti forniti dal Garante nelle Faq pubblicate il 5 dicembre 2020. Il Garante ha chiarito alcuni adempimenti legati alla tutela della privacy, che si aggiungono a quelli previsti, sul fronte giuslavoristico, dallo Statuto dei lavoratori

 Il double-opt in è obbligatorio?
No, non è un meccanismo legalmente obbligatorio, ma è certamente un meccanismo virtuoso: assolutamente raccomandato. Il double opt-in prevede un doppio step di conferma, da parte dell’utente, circa la volontà di ricevere le comunicazioni.
 
I dati sensibili devono essere criptati?
No, il GDPR non prevede un obbligo assoluto in tal senso. E’ una tra le misure di sicurezza previste dall’art. 32 del GDPR.