Giorno: 18 Aprile 2023

di

L’uso del pennarello nero o del bianchetto non rappresenta una modalità efficace per rendere anonimi i dati personali degli utenti che vengono pubblicati on line – Garante della Privacy ordinanza del 02.03.2023

L’uso del pennarello nero o del bianchetto non rappresenta una modalità efficace per rendere anonimi i dati personali degli utenti che vengono pubblicati on line - Garante della Privacy del 02.03.2023

L’uso del pennarello nero o del bianchetto non rappresenta una modalità efficace per rendere anonimi i dati personali degli utenti che vengono pubblicati on line. Anche nella pubblicazione dei feedback positivi sulla loro attività, le amministrazioni pubbliche devono tener presente la disciplina privacy, specialmente quando si tratta di dati sanitari.

È quanto sottolinea il Garante per la protezione dei dati personali al termine di una istruttoria che ha portato una sanzione di 50mila euro per l’Azienda sanitaria locale di Bari.

A seguito di una segnalazione giunta all’Autorità, è emerso infatti che la Asl, nel corso di sei anni, ha diffuso informazioni sullo stato di salute di centinaia di interessati all’interno di una sezione del sito istituzionale, denominata “Parlano bene di noi” e dedicata a raccogliere gli elogi ricevuti da utenti e associazioni.

Lo scopo era dunque quello di informare sul miglioramento dei rapporti con i cittadini, ma nei documenti consultabili on line (copie scansionate degli appositi moduli di ringraziamento, e-mail e lettere) erano presenti dati anagrafici e di contatto degli assistiti e numerose informazioni relative allo stato di salute dei soggetti che avevano presentato l’elogio, come dettagli clinici degli interventi o delle prestazioni ricevute, diagnosi, anamnesi. In alcuni elogi pubblicati, i riferimenti erano stati cancellati, in modo approssimativo, con il tratto di un pennarello nero, che non impediva di leggere le parti oscurate e da cui era possibile identificare gli autori.

Nel sanzionare la struttura, il Garante ha ricordato che la disciplina privacy impedisce la diffusione delle informazioni sullo stato di salute e che tali dati possono essere comunicati a un soggetto diverso dall’interessato solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso.

L’Autorità, ha inoltre osservato che la procedura di cancellazione manuale con pennarello o con bianchetto, per sua natura imprecisa e non definitiva, non può essere definita idonea a rendere anonime le informazioni personali degli interessati, né può definirsi una procedura di “pseudonimizzazione”, anche se eseguita in modo efficace, quanto piuttosto una semplice procedura manuale di oscuramento delle generalità degli interessati.

Link al documento: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9870171

di

Parere favorevole del Garante privacy sullo schema di decreto del Ministro dell’economia e delle finanze riguardante l’invio telematico all’Agenzia delle Entrate dei dati relativi alle spese per l’acquisto degli abbonamenti al trasporto pubblico locale – Garante per la privacy parere del 23.02.2023

Parere favorevole del Garante privacy sullo schema di decreto del Ministro dell’economia e delle finanze riguardante l’invio telematico all’Agenzia delle Entrate dei dati relativi alle spese per l’acquisto degli abbonamenti al trasporto pubblico locale - Garante per la privacy parere del 23.02.2023

Parere favorevole del Garante privacy sullo schema di decreto del Ministro dell’economia e delle finanze riguardante l’invio telematico all’Agenzia delle Entrate dei dati relativi alle spese per l’acquisto degli abbonamenti al trasporto pubblico locale, regionale e interregionale ai fini della richiesta di detrazione nella dichiarazione dei redditi precompilata.

La detrazione è rivolta a quei cittadini che per i loro spostamenti quotidiani si servono dei mezzi pubblici: studenti, lavoratori, pensionati.

Il testo recepisce le indicazioni fornite dall’Autorità nel corso delle interlocuzioni con il Ministero, volte a garantire il rispetto della protezione dei dati personali trattati.

La legge di Bilancio 2020 ha infatti introdotto la detrazione Irpef del 19% per gli abbonamenti ai servizi di trasporto, con un limite massimo di richiesta di 250 euro.

L’agevolazione riguarda sia le spese sostenute direttamente dal contribuente per l’acquisto dell’abbonamento, sia quelle affrontate per conto dei familiari fiscalmente a carico. Le detrazioni sono previste solo nel caso in cui gli oneri siano sostenuti con strumenti di pagamento tracciabili come bancomat, carte di credito, bollettini di conto corrente postale.

Il decreto del Ministero stabilisce in particolare che gli enti pubblici e i soggetti privati affidatari del servizio di trasporto trasmettano telematicamente all’Agenzia delle Entrate una comunicazione contenente le spese dei cittadini, con l’indicazione dei dati identificativi dei titolari degli abbonamenti e di coloro che hanno sostenuto le spese. Anche i soggetti che erogano i rimborsi sono tenuti alle medesime comunicazioni.

Seguirà uno schema di decreto per le modalità tecniche di utilizzo dei dati predisposto dall’Agenzia delle Entrate su cui il Garante si riserva di esprimere le proprie valutazioni.

Link al documento: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9869626

di

Il Garante privacy ha sanzionato una società che offre servizi di digital marketing con una multa di 300mila euro per aver trattato in modo illecito dati personali a fini di marketing – Garante della Privacy provvedimento del 23.02.2023

Il Garante privacy ha sanzionato una società che offre servizi di digital marketing con una multa di 300mila euro per aver trattato in modo illecito dati personali a fini di marketing - Garante della Privacy provvedimento del 23.02.2023

Il Garante privacy ha sanzionato una società che offre servizi di digital marketing con una multa di 300mila euro per aver trattato in modo illecito dati personali a fini di marketing.

La digital company veicolava agli utenti presenti nel proprio database i messaggi ricevuti dalle società sue clienti (tutte di medio-grande dimensione e alcune molto conosciute) per effettuare campagne promozionali via sms, email e attraverso chiamate automatizzate. Il database era costituito da dati raccolti direttamente dalla società attraverso i propri portali online (di notizie, concorsi a premi, curiosità, ricette di cucina), ma anche da informazioni personali acquistate da broker di dati.

Dalle verifiche effettuate dall’Autorità, è emerso che in alcuni dei portali di proprietà della società, venivano utilizzati i cosiddetti “modelli oscuri” (dark patterns) che, attraverso interfacce grafiche opportunamente realizzate e altre modalità potenzialmente ingannevoli, invogliavano l’utente a prestare il consenso al trattamento dei dati per finalità di marketing e alla comunicazione dei dati a terzi sempre per la stessa finalità.

Negli stessi portali, l’Autorità ha rinvenuto una serie di altre violazioni, a partire dalla incapacità della società di dimostrare, in alcuni casi, l’acquisizione del consenso per l’invio di messaggi promozionali, fino all’obbligo per l’utente di fornire risposte sulle sue abitudini di acquisto o alla richiesta di inserire i dati di contatto (nome, email) di amici potenzialmente interessati ai servizi offerti. Da ultimo, anche l’invito a cliccare su un link che conduceva ad un altro sito per scaricare un e-book, con i dati di profilo dell’utente già riconosciuti e i consensi privacy già tutti selezionati.

L’Autorità inoltre, ricordando le verifiche da effettuare nel caso di acquisizione di banche dati da terzi, si è pronunciata in merito alla corretta ripartizione dei ruoli in ordine al trattamento dei dati personali tra le parti commerciali coinvolte nella filiera del marketing digitale.

Il Garante, tenendo conto delle misure correttive adottate, ha ammonito la società e ha vietato alcuni trattamenti ordinando il pagamento di una sanzione.

Entro il termine stabilito, la società ha definito la controversia pagando un importo pari alla metà della sanzione comminata.

Link al documento: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9870014