GLI ACCESSI AI DATI SENSIBILI VANNO ADEGUATAMENTE PROTETTI ANCHE SE EFFETTUATI DA SOGGETTI AUTORIZZATI – GARANTE PER LA PRIVACY ORDINANZA DEL 15.04.2021

GLI ACCESSI AI DATI SENSIBILI VANNO ADEGUATAMENTE PROTETTI ANCHE SE EFFETTUATI DA SOGGETTI AUTORIZZATI - GARANTE PER LA PRIVACY ORDINANZA DEL 15.04.2021

La condizione di fragilità economica va tutelata anche sul piano della riservatezza e il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati fin dalla progettazione dei sistemi e per impostazione predefinita.

E’ quanto ha ribadito il Garante per la privacy nel sanzionare il Comune di Palermo per 40.000 euro per non aver protetto adeguatamente i dati personali dei cittadini che richiedevano sussidi alimentari.

Nel reclamo presentato al Garante, un cittadino lamentava che un operatore di un’associazione aveva potuto accedere alla sua domanda di buoni spesa per l’emergenza Covid senza esserne autorizzato e visualizzare i suoi dati personali.

Per assistere gli utenti nella compilazione delle richieste di sussidi, il Comune si era avvalso del supporto di soggetti esterni (Enti del Terzo Settore, Sindacati e Parrocchie, c.d. OpT) che aveva accreditato ad usare la piattaforma informatica di gestione dei sussidi, accessibile dal sito comunale.

In base alla documentazione acquisita, l’Autorità ha accertato che era possibile, per un operatore di qualsiasi organizzazione accreditata, consultare tutte le pratiche inserite nella piattaforma del Comune e visualizzare i dati anagrafici e la fascia economica Isee dei richiedenti, senza registrare le operazioni di consultazione effettuate, con conseguente impossibilità di identificare gli utenti che avevano effettuato le predette consultazioni.

Il Comune aveva infatti rilasciato, di base, a ciascuna OpT un’unica utenza di accesso, che l’organizzazione faceva utilizzare a tutti i propri addetti. Qualunque operatore poteva così accedere ai dati di tutte le domande, anche presentate presso altri OpT e che avevano già completato l’iter previsto. La funzione di ricerca dei beneficiari, prevedeva l’inserimento dei soli primi tre caratteri del codice fiscale, rendendo così facilmente accessibili per un numero elevato di posizioni, le informazioni relative alla condizione di fragilità dei richiedenti i sussidi.

Nello stabilire l’entità della sanzione l’Autorità, pur considerando la necessità di fronteggiare con urgenza il disagio della pandemia, nonché gli sforzi fatti nel corso del tempo per adottare le necessarie misure per rendere la piattaforma conforme ai richiamati principi, ha tenuto conto del fatto che la violazione ha interessato un numero elevato di cittadini in stato di bisogno (circa 18.000) e si è protratta per circa due mesi.

Link al documento: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9587053

DIVIETO DI DIFFUSIONE DEI DATI PARTICOLARI ANCHE SULL’ALBO PRETORIO ON LINE – GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Ordinanza ingiunzione – 15 gennaio 2020 [9261227]

Link al documento: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9261227

Salute: Garante, no alla e-mail con più indirizzi in chiaro – Garante per la Protezione dei dati Personali NEWSLETTER N. 461 del 7 febbraio 2020

Il Garante per la privacy richiama l’attenzione sulle regole di una corretta comunicazione attraverso la posta elettronica. Con un provvedimento ha dichiarato illecito l’invio da parte di un’articolazione della Provincia di Trento di una e-mail destinata, contemporaneamente e con gli indirizzi in chiaro, a sedici genitori di bambini non in regola con l’obbligo delle vaccinazioni.

In prossimità dell’avvio dell’anno scolastico, l’e-mail della Provincia informava le famiglie dell’impossibilità di ammettere i minori alle scuole dell’infanzia, in assenza della regolarità vaccinale.

Il Garante ha precisato che le informazioni contenute nella comunicazione della Provincia sono qualificabili come dati relativi alla salute dei minori. Tali dati possono essere trattati solo sulla base di un idoneo presupposto giuridico, rispettando i principi di liceità, correttezza e trasparenza nonché di minimizzazione, in modo sicuro e solo se adeguati, pertinenti e limitati  rispetto alle finalità per le quali sono trattati.

L’e-mail andava dunque inviata a ciascun genitore separatamente, in modo personalizzato, o utilizzando lo strumento della copia conoscenza nascosta (ccn), per rendere ogni indirizzo riservato.

Di conseguenza l’Autorità, oltre ad aver dichiarato illecito il trattamento, ha ammonito la Provincia a conformare l’invio di comunicazioni alle disposizioni e ai principi che tutelano i dati personali.

Nel caso specifico il Garante ha tenuto conto del fatto che l’illecito è stato un primo e isolato evento, dovuto alla disattenzione di una dipendente.

L’Autorità ha inoltre tenuto conto che la violazione gli è stata notificata dalla Provincia stessa, che, a seguito dell’accaduto, ha informato del fatto gli interessati, scusandosi e adottando atti e iniziative volte a sensibilizzare il personale al rispetto della disciplina dei dati personali.