NEWSLETTER N. 520 del 28 marzo 2024

• Lavoro: no del Garante Privacy all’uso del riconoscimento facciale per controllo presenze
• Trasporti: Garante Privacy, più tutele per i dati degli abbonati
• Siti e app per il contatto tra medico e paziente: le indicazioni del Garante
• Intercettazioni, Garante Privacy: via libera all’archivio digitale interdistrettuale

Lavoro: no del Garante Privacy all’uso del riconoscimento facciale per controllo presenze
Sanzionate cinque società che trattavano illecitamente dati biometrici

Il riconoscimento facciale per controllare le presenze sul posto di lavoro viola la privacy dei dipendenti. Non esiste al momento alcuna norma che consenta l’uso di dati biometrici, come prevede il Regolamento, per svolgere una tale attività. Per questo motivo il Garante privacy ha sanzionato cinque società - impegnate a vario titolo presso lo stesso sito di smaltimento dei rifiuti - con sanzioni rispettivamente di 70mila, 20mila, 6mila, 5mila e 2mila euro, per aver trattato in modo illecito i dati biometrici di un numero elevato di lavoratori. [VEDI PROVVEDIMENTI doc. web n. 9995680, 9995701, 9995741, 9995762, 9995785]

L’Autorità, intervenuta a seguito dei reclami di diversi dipendenti, ha anche evidenziato i particolari rischi per i diritti dei lavoratori connessi all’uso dei sistemi di riconoscimento facciale, alla luce delle norme e delle garanzie previste sia nell’ordinamento nazionale che in quello europeo.

Dall’attività ispettiva del Garante, svolta in collaborazione con il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza, sono emerse anche ulteriori violazioni da parte delle società. In particolare l’Autorità ha accertato che tre aziende avevano condiviso per più di un anno lo stesso sistema di rilevazione biometrica, oltretutto senza aver adottato misure tecniche e di sicurezza adeguate. Inoltre il medesimo “sistema”, ritenuto illecito dall’Autorità, era utilizzato presso altre nove sedi dove operava una delle società sanzionate. Le aziende, infine, non avevano fornito una informativa chiara e dettagliata ai lavoratori né avevano effettuato la valutazione d’impatto prevista dalla normativa privacy.

Le aziende, ad avviso del Garante, avrebbero dovuto più opportunamente utilizzare sistemi meno invasivi per controllare la presenza dei propri dipendenti e collaboratori sul luogo di lavoro (come ad es. il badge). Oltre al pagamento delle sanzioni il Garante ha ordinato la cancellazione dei dati raccolti illecitamente.

Trasporti: Garante Privacy, più tutele per i dati degli abbonati
Sanzionata un’azienda che aveva raccolto consensi marketing non validi

Anche quando sottoscriviamo un abbonamento per i trasporti abbiamo diritto a fare libere scelte sul trattamento dei nostri dati.

Il Garante Privacy ha sanzionato un’azienda di trasporto dell’Emilia Romagna con 50.000 euro di multa per aver utilizzato un modulo per la sottoscrizione degli abbonamenti al servizio di trasporto pubblico locale non conforme alla disciplina in materia di protezione dei dati.

L’istruttoria dell’Autorità, che ha preso il via da una segnalazione, ha accertato che l’informativa resa ai passeggeri al momento della sottoscrizione degli abbonamenti, priva di molti elementi essenziali, non consentiva di prestare un consenso libero, specifico e informato.

Il modulo per il rilascio della tessera di abbonamento non permetteva infatti ai viaggiatori di distinguere tra dati obbligatori e dati facoltativi (come ad esempio il numero di cellulare e l’indirizzo e-mail) e non segnalava chiaramente agli utenti il diritto di opporsi al trattamento per finalità di marketing diretto.

L’azienda, che serve un bacino di utenza di rilevanti dimensioni, non aveva inoltre rivisto e aggiornato, entro la data di efficacia del Regolamento europeo in materia di privacy, né l’informativa sul trattamento dei dati e il modulo di richiesta della tessera, né le proprie politiche interne in materia di conservazione dei dati.

Oltre alla sanzione, l’Autorità ha imposto all’azienda di trasporto il divieto di trattare, per finalità di marketing e invio di comunicazioni sullo stato del servizio di trasporto, i dati degli utenti raccolti in assenza di una idonea informativa e sulla base di consensi non validi.

Inoltre l’Azienda dovrà fornire a tutti gli interessati una nuova informativa sul trattamento dei dati personali conforme ai requisiti previsti dal Regolamento UE, rendendola disponibile sul proprio sito web istituzionale, presso la propria sede e i propri punti vendita, nonché fornendola a ciascun interessato alla prima occasione utile di contatto.

Siti e app per il contatto tra medico e paziente: le indicazioni del Garante

Un concreto aiuto dal Garante Privacy per app e siti che mettono in contatto i pazienti con i professionisti sanitari, tra cui i medici di medicina generale e i pediatri di libera scelta che offrono a utenti e medici servizi quali la scelta del professionista, la prenotazione delle visite, l’invio e l’archiviazione di documenti sanitari.

Il Garante ha pubblicato infatti un documento in 10 punti in cui si indicano gli obblighi e gli adempimenti da rispettare al momento di trattare dati personali così delicati.

Attraverso le piattaforme digitali, che nella maggior parte dei casi fanno capo a società stabilite in paesi europei diversi dall’Italia o in Paesi terzi, i dati sia personali che sanitari dei pazienti vengono utilizzati per molteplici finalità da diversi soggetti che intervengono a vario titolo nelle operazioni di trattamento e che possono assumere diversi ruoli di protezione dei dati (titolare, contitolare e responsabile del trattamento).

Il compendio fornisce chiarimenti con riferimento a tre macro tipologie di trattamenti: dati dei pazienti, necessari per offrire loro servizi anche di tipo amministrativo correlati alla prestazione sanitaria richiesta (ad es. creazione dell’account, prenotazione di una visita medica); dati personali dei professionisti sanitari trattati per diversi scopi (ad es. gestione dell’agenda del medico e recensioni degli utenti); dati sulla salute dei pazienti, trattati per finalità di diagnosi e cura (es. condivisione di documenti sanitari come prescrizioni o referti).

Per ciascuna delle tre differenti macro tipologie di trattamenti, il compendio identifica le specifiche basi giuridiche, i ruoli, le responsabilità e gli obblighi in capo a siti e app e ricorda la necessità di adottare misure di sicurezza tecniche e organizzative, volte a ridurre i rischi di distruzione, perdita, modifica, divulgazione non autorizzata di dati o accesso accidentale o illegale.

Una specifica sezione del compendio è dedicata all’obbligo per le piattaforme di svolgere al riguardo una preventiva valutazione di impatto sul trattamento di dati che possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Un paragrafo, infine, è dedicato alle informazioni da rendere ai pazienti che, in conformità ai principi di correttezza e trasparenza, devono essere semplici e chiare oltre che concise, trasparenti, intelligibili e facilmente accessibili.

Intercettazioni, Garante Privacy: via libera all’archivio digitale interdistrettuale

Parere favorevole del Garante Privacy sullo schema di decreto del Ministero della Giustizia che regola l’attivazione dell’archivio digitale delle intercettazioni (ADI) presso le infrastrutture interdistrettuali e definisce tempi, modalità e requisiti di sicurezza della migrazione e del conferimento dei dati. L’archivio - tenuto sotto la direzione e la sorveglianza del Procuratore della Repubblica - custodisce i verbali, gli atti e le registrazioni delle intercettazioni disposte dalle singole Procure.

Il Garante, tuttavia, ha chiesto al Ministero di esplicitare nel testo il ruolo di titolare del trattamento dei dati svolto dalle Procure della Repubblica, per fugare possibili dubbi interpretativi e agevolare l’esercizio dei diritti da parte degli interessati.

Con l’attuale atto ministeriale si completa il percorso che ha già visto l’istituzione delle infrastrutture digitali centralizzate per le intercettazioni e la definizione dei requisiti tecnici per la gestione dei dati presso tali sistemi, sui cui schemi il Garante si è espresso con parere favorevole rispettivamente nei mesi di settembre e di dicembre 2023.

Il testo dello schema di decreto all’esame del Garante non presenta criticità sotto il profilo della protezione dei dati.

Recepisce infatti le indicazioni fornite in fase istruttoria dall’Autorità e prevede le ulteriori misure tecniche organizzative di funzionamento del sistema richieste dal Garante con il parere di dicembre.

Sono state, in particolare, delineate con chiarezza le funzioni svolte dal Procuratore della Repubblica: direzione, organizzazione e sorveglianza sulle attività di intercettazioni e sui relativi dati. E, sono state, inoltre, declinate con maggiore dettaglio le misure tecnico-organizzative necessarie a garantire livelli di sicurezza adeguati al rischio connesso al trattamento dei dati effettuato nell’archivio digitale.

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

• Intelligenza Artificiale: Il Garante Privacy scrive a Parlamento e Governo
  Necessario individuare Autorità di vigilanza indipendenti e imparziali – Comunicato del 25 marzo 2024

• Scuola: il Garante privacy a “Didacta Italia” per progettare un percorso didattico dedicato ai più giovani – Comunicato del 19 marzo 2024

• Garante privacy, aperta istruttoria sui droni a casa Elkann – Comunicato del 18 marzo 2024

• Telemarketing, Garante privacy: al via il Codice di condotta. Accreditato l’Organismo di monitoraggio per la piena efficacia delle nuove regole – Comunicato del 17 marzo 2024

• Intelligenza artificiale, il Garante privacy avvia istruttoria su “Sora” di OpenAI. Chieste alla società informazioni su algoritmo che crea brevi video da poche righe di testo – Comunicato dell’8 marzo 2024

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it