g-docweb-display Portlet

Newsletter del 11/05/2022 - Whistleblowing senza privacy: Garante sanziona ospedale e società informatica - Garante privacy a Ministero dell’interno: no a diffusione di foto lesive della dignità - Garanti privacy Ue: la cooperazione al centro della Conferenza di Primavera

Stampa Stampa Stampa

Logo newsletter

NEWSLETTER N. 488 dell'11 maggio 2022

 


Whistleblowing senza privacy: Garante sanziona ospedale e società informatica

PA e imprese devono prestare la massima attenzione nell’impostazione e gestione dei sistemi di whistleblowing, garantendo la massima riservatezza dei dipendenti e delle altre persone che presentano segnalazioni di condotte illecite. Lo ha ribadito il Garante per la privacy che ha sanzionato un’azienda ospedaliera e la società informatica che gestiva il servizio per denunciare presunte attività corruttive o altri comportamenti illeciti all’interno dell’ente.

L’istruttoria dell’Autorità nasce nell’ambito di un ciclo di attività ispettive sulle modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing, in particolare quelli più utilizzati in Italia dai datori di lavoro.

Dai controlli effettuati presso un’azienda ospedaliera sono emerse diverse violazioni del Gdpr. L’accesso all’applicazione web di whistleblowing, basata su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti.

La struttura sanitaria non aveva poi provveduto a informare preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti, non aveva effettuato una valutazione di impatto privacy e non aveva neppure inserito tali operazioni nel registro delle attività di trattamento, strumento utile per valutare i rischi per i diritti e le libertà degli interessati. È infine emersa una non corretta gestione delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza (Rpct), durante la fase di transizione con il suo successore.

Nel corso dei controlli sono emersi ulteriori illeciti imputabili alla società informatica che, in qualità di responsabile del trattamento, forniva all’azienda ospedaliera l’applicazione web di whistleblowing. La società si era infatti avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria. Aveva poi utilizzato il medesimo servizio di hosting anche per proprie finalità, ad esempio per la gestione del rapporto di lavoro con i dipendenti o la gestione contabile e amministrativa, anche in questo caso senza regolare il rapporto e l’uso dei dati.

Il Garante, tenendo conto della piena collaborazione offerta nel corso dell’istruttoria anche per sanare i problemi rilevati, ha comminato sia alla struttura sanitaria sia alla società informatica una sanzione di 40.000 euro. Ha inoltre concesso 30 giorni alla società informatica per adeguare il rapporto con il fornitore del servizio di hosting alla normativa sulla protezione dei dati personali.

 


Garante privacy a Ministero dell’interno: no a diffusione di foto lesive della dignità
Applicate sanzioni per 110mila euro

Due sanzioni, per complessivi 110mila euro, sono state comminate dal Garante privacy al Ministero dell’interno per la diffusione da parte di due Questure, nel corso di conferenze stampa, di immagini e video di persone arrestate o detenute, lesivi della loro dignità, senza che la divulgazione fosse giustificata da necessità di giustizia o di polizia.

Nel primo episodio, il video, pubblicato su alcuni siti internet e testate giornalistiche mostrava i volti in primo piano e i nominativi di otto persone arrestate e le immagini dei momenti in cui venivano condotte (in questo caso, con il volto coperto) dagli agenti di polizia nelle auto di servizio. Il video, liberamente visibile per oltre 5 anni sul profilo Facebook di una Questura, era stato rimosso dopo l’intervento dell’Autorità.

Nell’irrogare la sanzione di 60mila euro per questo episodio il Garante ha ritenuto che - alla luce della normativa nazionale ed europea, e della giurisprudenza della Corte di Cassazione e della CEDU - le immagini, per le caratteristiche dell’inquadratura e la presenza del logo della Polizia di Stato, fossero nella sostanza assimilabili alle foto segnaletiche, pur non avendo i numeri in sovrimpressione. La diffusione delle foto segnaletiche - sottolinea l’Autorità - è consentita solo se ricorrono fini di giustizia e di polizia o motivi di interesse pubblico.

Nel corso dell’istruttoria invece non è emersa alcuna necessità di divulgare le immagini in questione, in aggiunta alle altre informazioni fornite alla stampa. La Questura è così incorsa in un trattamento non necessario, eccedente e lesivo della dignità della persona, che deve essere tutelata in ogni situazione, specialmente, come sottolineato dalla Suprema Corte, quando si trovi in una situazione di momentanea inferiorità e, ad esempio, sia ripresa in uno stato di soggezione (posizione forzata del soggetto, ritratto in primo piano senza il suo consenso, situazione obiettivamente umiliante).

Nel secondo caso, un’altra Questura ha divulgato alla stampa, sempre senza che ve ne fosse alcuna necessità, le generalità e l’immagine in primo piano di una persona già in carcere per dare la notizia di un ulteriore provvedimento restrittivo emesso nei suoi confronti. Il Garante ha ritenuto illecita anche questa divulgazione di dati personali e ha applicato al Ministero una sanzione pecuniaria di 50mila euro.

 


Garanti privacy Ue: la cooperazione al centro della Conferenza di Primavera
In programma a maggio in Croazia


Trasferimento dati verso Paesi terzi, cooperazione fra Autorità, Convenzione 108+ e convergenza delle legislazioni nazionali degli Stati terzi verso il modello europeo, sfide dell’innovazione come l’Intelligenza artificiale e il flusso globale di dati personali, giurisprudenza della Corte europea dei diritti dell’uomo.

Sono questi i principali temi al centro della 30a Conferenza di primavera delle Autorità per la protezione dei dati personali, in programma dal 19 al 20 maggio, nella località di Cavtat, nei pressi di Dubrovnik, in Croazia. La Conferenza rappresenta il più importante incontro fra i Garanti privacy europei in tema di cooperazione, coordinamento strategico e politiche di protezione dati.

L’Autorità italiana sarà presente con tutto il Collegio (Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza).

Il 19 maggio, prima giornata dei lavori, la vice-Presidente del Garante, Ginevra Cerrina Feroni, presenterà la risoluzione, di cui si è fatto promotore il Garante, sulla necessità di una tempestiva ratifica della “Convenzione 108+” che, aggiornando l’originaria Convenzione 108, diventerà lo strumento vincolante a livello internazionale per assicurare un’efficace protezione dei diritti delle persone nell’era digitale (Session 2: “Convention 108+ and global convergence”). Nella stessa Sessione Alessandra Pierucci, in qualità di Presidente del Comitato consultivo della Convenzione 108, illustrerà i punti salienti della Convenzione 108+ con particolare riferimento alla rafforzata cooperazione tra autorità e ai meccanismi di monitoraggio per verificare l’effettiva conformità degli ordinamenti delle future Parti ai principi della convenzione stessa.

Il 20 maggio, Guido Scorza, e Luigi Montuori, dirigente dell’Autorità, interverranno al panel dedicato alle attività di sensibilizzazione sulla protezione dei dati e agli strumenti offerti dalla Commissione Europea per potenziare i sistemi nazionali e migliorare il livello di protezione dei dati degli Stati, compresi quelli extra UE (Panel session 2: “Raising awareness activities, EU funded projects in EU and non”). Guido Scorza si soffermerà, in particolare, sull’esperienza del Contest “Informative privacy più chiare grazie a simboli e icone? È possibile”, mentre Luigi Montuori illustrerà i progetti e le attività formative realizzati dal Garante italiano.

 


 

L'ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

  • Telemarketing: al via i lavori per il codice di condotta - Comunicato del 5 maggio 2022

  • Scuola: rating reputazionale sotto la lente del Garante privacy. Avviata istruttoria su una piattaforma rivolta agli studenti - Comunicato del 3 maggio 2022

  • Garante privacy e Università di Firenze insieme per promuovere la cultura della protezione dati e l’educazione digitale. Firmato domani, venerdì 22 aprile, il Protocollo d’intesa - Comunicato del 21 aprile 2022

  • I suggerimenti del Garante per tutelare la tua privacy quando pubblichi immagini online - 20 aprile 2022

  • Referendum on line: Garante Privacy, servono più garanzie - Comunicato del 12 aprile 2022

  • "25 anni di Privacy in Italia". Il Garante presenta il volume che racconta la storia di un diritto fondamentale. A Roma, il 6 aprile - Comunicato del 5 aprile 2022

  • Caso liceo Roma, il Garante Privacy dispone ulteriori blocchi alla pubblicazione delle
    chat. Dopo La Repubblica, i provvedimenti riguardano Openonline.it, Letto quotidiano,
    Il Giornale, Il Riformista, Skuola.net e La notizia giornale - Comunicato del 2 aprile 2022

  • Caso liceo Roma: il Garante privacy interviene su pubblicazione chat tra preside e studente. Disposto il blocco d’urgenza per “Repubblica” - Comunicato del 31 marzo 2022

  • Protezione dati e media: incontro Garante privacy e Consiglio Nazionale dell’Ordine dei Giornalisti - Comunicato del 24 marzo 2022

  • Ucraina: aperta istruttoria su antivirus Kaspersky. Saranno verificate le modalità del trattamento dei dati degli italiani - Comunicato del 18 marzo 2022

     

     

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it