(AGENPARL) – lun 03 ottobre 2022 3 ottobre 2022
NOTIZIARIO DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – ANNO XXIV
Screening oncologici: il Garante sanziona la Regione Lazio
App per diabetici: sanzionata dal Garante società statunitense
PA: piattaforma digitale dei benefici economici, il Garante chiede più garanzie
00N. 495
3 ottobre 2022
NOTIZIARIO DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – ANNO XXIV
Screening oncologici: il Garante sanziona la Regione Lazio
App per diabetici: sanzionata dal Garante società statunitense
PA: piattaforma digitale dei benefici economici, il Garante chiede più garanzie
Screening oncologici: il Garante sanziona la Regione Lazio
Multa di 100mila euro per il mancato aggiornamento dei dati personali
Il Garante per la protezione dei dati personali ha sanzionato la Regione Lazio per la somma di 100.000 euro per non avere aggiornato i dati della piattaforma utilizzata dalle Asl per l’invito agli screening oncologici.
L’Autorità è intervenuta a seguito del reclamo di una donna che aveva lamentato all’Autorità di aver ricevuto dalla Asl di Rieti un invito a partecipare al programma di screening del tumore del collo dell’utero, rivolto alla figlia deceduta nel 1995.
Nel corso dell’istruttoria, l’Autorità ha accertato che – per svolgere le campagne di screening – le Asl utilizzano una piattaforma regionale denominata Sistema Informativo dei Programmi di screening oncologici (SIPSOweb), che contiene tutti i parametri necessari alla generazione degli inviti.
Quando la ASL di Rieti aveva consultato la scheda “dettaglio assistito” di SIPSOweb relativa alla figlia della reclamante, questa risultava ancora regolarmente inserita nella suddetta piattaforma regionale sebbene deceduta da tempo. L’Autorità ha pertanto contestato alla Regione il mancato rispetto dei principi di esattezza e correttezza dei dati trattati attraverso la piattaforma e, tra l’altro, la non corretta individuazione dei ruoli ricoperti dai soggetti che a vario titolo trattano dati personali attraverso SIPSOweb.
La Regione, in quanto titolare dei dati, deve garantire che i dati personali siano esatti e, se necessario, aggiornati, adottando tutte le misure ragionevoli per cancellare o rettificare tempestivamente le informazioni che utilizza.
Nel comminare la sanzione il Garante ha tenuto conto del fatto che la Regione Lazio era stata già destinataria di un provvedimento sanzionatorio dell’Autorità, e del fatto che, nell’ambito dell’istruttoria, oltre agli aspetti di mancato aggiornamento del dato oggetto del reclamo, l’Ufficio ha rilevato numerose criticità relative al sistema con cui la Regione effettua il trattamento dei dati, anche sulla salute, degli oltre 5 milioni di assistiti coinvolti nelle campagne di screening regionali.
La Regione dovrà perciò identificare correttamente i ruoli, le finalità e le basi giuridiche del trattamento, modificando e integrando le informazioni da rendere agli interessati.
Per garantire una maggiore accuratezza nella gestione delle informazioni anagrafiche delle persone aventi diritto ai programmi di screening oncologici, l’Autorità ha evidenziato la necessità che tutte le Regioni utilizzino a tal fine l’Anagrafe Nazionale degli Assistiti (ANA).
App per diabetici: sanzionata
dal Garante società statunitense
Trattati in modo illecito gli indirizzi email
di circa 2000 pazienti diabetici italiani
Il Garante privacy ha sanzionato per 45.000,00 euro una società statunitense, per violazioni sui dati personali nell’utilizzo del proprio sistema di monitoraggio del glucosio e per aver comunicato illecitamente indirizzi di posta elettronica e dati sulla salute di circa 2000 pazienti diabetici italiani.
La Società ha notificato al Garante il data breach causato da un suo dipendente che, nell’ambito di una campagna informativa, ha inviato un messaggio di posta elettronica, inserendo gli indirizzi dei destinatari nel campo “cc” (carbon copy) invece che nel campo “bcc” (blind carbon copy). Ciascun destinatario ha avuto così la possibilità di visualizzare gli indirizzi email degli altri.
In base al Gdpr, ha ribadito il Garante, l’indirizzo di posta elettronica è da considerarsi un dato personale, perché riguarda una persona identificata o identificabile e va perciò trattato in modo lecito, corretto e trasparente, garantendo un’adeguata sicurezza.
Nel caso specifico, poi, considerato che la comunicazione era indirizzata a persone affette da diabete, le informazioni contenute nella email, costituivano “dati personali che possono rivelare lo stato di salute” e quindi potevano essere comunicati a terzi solo sulla base di una delega scritta dell’interessato o di un idoneo presupposto giuridico.
Nel corso dell’istruttoria l’Autorità ha rilevato ulteriori violazioni della normativa sulla protezione dei dati relative all’utilizzo del sistema di monitoraggio del glucosio. Scaricando l’apposita app, infatti, gli utenti erano chiamati ad accettare con un unico “clic” sia le condizioni contrattuali del servizio sia il contenuto dell’informativa privacy, rendendo così impossibile formulare specifici consensi per i diversi trattamenti dei dati, quale appunto quello per il trattamento dei dati sulla salute.
Violati anche i principi di correttezza e trasparenza, avendo la società fornito agli utenti un’informativa confusa e carente in molte parti essenziali. L’azienda aveva inoltre omesso di designare per iscritto il proprio rappresentante nell’Unione europea quale interlocutore per tutte le questioni privacy, come previsto dal Regolamento.
Nel valutare la sanzione da applicare alla società, il Garante ha tenuto conto della mancanza di intenzionalità nell’invio dell’email e del comportamento collaborativo della compagnia. In ottemperanza alle prescrizioni del Garante, l’Azienda dovrà conformare i trattamenti di dati personali alla normativa vigente e rielaborare l’informativa sulla privacy in una forma concisa, trasparente e comprensibile, comunicando le iniziative intraprese in tal senso.
PA: piattaforma digitale
dei benefici economici,
il Garante chiede più garanzie
No alla raccolta massiva e generalizzata delle transazioni
degli utenti