Giorno: 7 Giugno 2024

di

Servizi cloud per la PA: ok del Garante Privacy al Regolamento di ACN – Parere sullo schema di Regolamento per le infrastrutture digitali e per i servizi cloud per la pubblica amministrazione – 9 maggio 2024

Servizi cloud per la PA: ok del Garante Privacy al Regolamento di ACN - Parere sullo schema di Regolamento per le infrastrutture digitali e per i servizi cloud per la pubblica amministrazione - 9 maggio 2024

Parere favorevole del Garante Privacy sullo schema di Regolamento per le infrastrutture digitali e per i servizi cloud della PA. Lo schema di decreto, predisposto dall’Agenzia per la cybersicurezza nazionale (ACN), sostituisce l’atto adottato in precedenza dall’Agenzia per l’Italia digitale (AGID).

Lo schema di Regolamento tiene conto delle indicazioni fornite dal Garante nel corso delle interlocuzioni. Il documento introduce un nuovo articolo dedicato alla corretta applicazione della normativa privacy, che mira ad assicurare il controllo, da parte delle Pubbliche Amministrazioni, su tutti i soggetti che intervengono nel trattamento dei dati. In particolare, attribuisce alle PA il ruolo di titolari del trattamento, mentre gli operatori di infrastrutture digitali e i fornitori di servizi cloud vengono indicati quali responsabili del trattamento.

Il testo stabilisce inoltre l’obbligo per i responsabili del trattamento di adottare misure che garantiscano una tempestiva e adeguata informazione da parte delle amministrazioni in caso di data breach, considerata la mole e la delicatezza dei dati trattati (dati sulla salute, dati fiscali). I responsabili del trattamento dovranno poi fornire alle PA idonei strumenti di controllo delle attività di trattamento effettuate da eventuali sub responsabili.

In tema di trasferimenti dei dati al di fuori dello Spazio economico europeo, i responsabili del trattamento saranno tenuti ad attenersi alle istruzioni delle amministrazioni e a mettere a disposizione delle stesse ogni informazione necessaria per valutare l’effettività delle misure adottate.

Il Regolamento si inserisce all’interno della Strategia cloud Italia, messa in campo dal Dipartimento per la trasformazione digitale e da ACN, che contiene gli indirizzi per il percorso di migrazione verso il cloud di dati e servizi digitali della Pubblica Amministrazione, anche grazie al Polo Strategico Nazionale (PSN), quale infrastruttura cloud realizzata su impulso del governo.

Link al documento: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10021468

di

Garante Privacy: il GDPR vale anche per Wikipedia. L’enciclopedia online deve rispettare le regole sul giornalismo e la manifestazione del pensiero – Garante della Privacy Provvedimento del 9 maggio 2024

Garante Privacy: il GDPR vale anche per Wikipedia. L’enciclopedia online deve rispettare le regole sul giornalismo e la manifestazione del pensiero - Garante della Privacy Provvedimento del 9 maggio 2024

Il trattamento di dati personali effettuato da Wikipedia ricade sotto il GDPR e ai contenuti pubblicati si applicano le norme sull’attività giornalistica e la manifestazione del pensiero.

È quanto ha stabilito il Garante per la protezione dei dati personali, dopo il reclamo di un interessato che non aveva visto soddisfatta la richiesta di cancellazione di un articolo biografico, relativo a una vicenda giudiziaria, da parte di Wikipedia Foundation, la no-profit Usa creatrice del progetto dell’enciclopedia on line.

Per quanto riguarda il trattamento di dati personali effettuato negli articoli, la Fondazione, che non ha stabilimento in Europa, ritiene che Wikipedia non offra un servizio agli utenti nella Ue e di non essere quindi vincolata al rispetto del Regolamento generale sulla protezione dati: l’enciclopedia sarebbe solo un “host neutrale” che “ospita” i contenuti inseriti dalla comunità di volontari.

In realtà, Wikipedia non solo offre un servizio di informazione su una grande varietà di argomenti, ma lo rivolge anche al mercato europeo, come dimostrano la costante azione di indirizzo e verifica degli standard qualitativi dei contenuti rivolti dalla Fondazione alla comunità e la creazione di versioni del sito dedicate agli utenti di uno o più Stati membri. Si realizza così – spiega il Garante – quel requisito di intenzionalità nell’offerta di servizi che permette di applicare il GDPR a un titolare del trattamento stabilito in un Paese terzo e senza stabilimento nella Ue.

Chiarito l’ambito di applicazione, l’Autorità ha respinto l’istanza di cancellazione dell’interessato, perché il trattamento di dati personali per finalità giornalistiche, anche senza consenso, è lecito se rispetta i diritti e la dignità delle persone e il principio dell’essenzialità dell’informazione. Allo stesso modo, è lecita anche la permanenza dell’articolo nell’archivio dell’enciclopedia on line: gli archivi di siti e giornali, anche cartacei, rivestono infatti una importante funzione ai fini della ricostruzione storica degli eventi.

Il Garante ha tuttavia disposto la deindicizzazione dell’articolo. La presenza on line della pagina vanificherebbe infatti il beneficio del limite della conoscibilità posto alle condanne inferiori ai due anni, che non sono inserite nel casellario giudiziario, mentre nel frattempo è venuto a scemare l’interesse pubblico per la vicenda.

Link al documento: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10022403

di

Concorsi della P.A.: online solo le graduatorie definitive dei vincitori, il Garante sanziona l’INPS per illecita diffusione di dati personali – Garante della Privacy Provvedimento dell’11 aprile 2024

Concorsi della P.A.: online solo le graduatorie definitive dei vincitori, il Garante sanziona l’INPS per illecita diffusione di dati personali - Garante della Privacy Provvedimento dell'11 aprile 2024

Pubblicare sul web gli esiti delle prove intermedie o dei dati personali dei concorrenti non vincitori o non ammessi ad un concorso è una violazione della privacy.

Così si è espresso il Garante a seguito di un reclamo presentato da un partecipante al concorso pubblico, a 1858 posti di consulente protezione sociale nei ruoli del personale dell’INPS.

Il reclamante aveva lamentato la pubblicazione sul sito web dell’Istituto di numerosi atti e documenti tra cui gli elenchi degli ammessi e non ammessi alla prova scritta e prova orale e l’elenco dei partecipanti, contenente la valutazione dei titoli da parte della Commissione di concorso, con l’indicazione del punteggio attribuito a ciascun candidato. Tali documenti sarebbero poi finiti anche sui social network ad opera di terzi.

I soggetti pubblici, ha ricordato il Garante, quando operano nello svolgimento di procedure concorsuali devono trattare i dati personali degli interessati nel rispetto delle norme di settore applicabili, e quindi non è possibile pubblicare online dati dei partecipanti ai concorsi non previsti dalla legge. Non sono infatti consentiti livelli differenziati di tutela della protezione dei dati personali, né su base territoriale né a livello di singola amministrazione, specie quando la materia sia già stata oggetto di bilanciamento e regolazione dal legislatore con disposizioni uniformi a livello nazionale.

Nel quantificare l’importo della sanzione all’INPS in 20.000 euro l’Autorità ha considerato la natura, la durata e la gravità della violazione, nonché l’elevato numero degli interessati e l’atteggiamento collaborativo dell’Istituto, che ha rimosso gli elenchi in questione, seppur a seguito della richiesta di informazioni del Garante.

Link al documento: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10019523