violazione privacy

di

App per diabetici: il Garante Privacy multa una società di dispositivi medici. Aveva inviato in chiaro e-mail a centinaia di pazienti diabetici – Garante della Privacy provvedimento del 08.02.2024

App per diabetici: il Garante Privacy multa una società di dispositivi medici. Aveva inviato in chiaro e-mail a centinaia di pazienti diabetici - Garante della Privacy provvedimento del 08.02.2024

Il Garante privacy ha comminato due sanzioni per complessivi 300mila euro a una nota società che produce dispositivi medici per il monitoraggio, la prevenzione e il trattamento di diverse patologie.

La prima, di 250mila euro, è stata applicata alla società per aver inviato alcune e-mail con gli indirizzi, in chiaro, di centinaia di destinatari, malati di diabete, che utilizzavano una sua app per la misurazione dei livelli di glucosio.

L’altra di 50mila euro, per non aver fornito un’informativa completa ai pazienti, fruitori dei servizi di healthcare.

Nel corso dell’istruttoria è emerso che, nell’inviare le e-mail aventi ad oggetto  un aggiornamento dell’applicazione, quindi una comunicazione di servizio, l’inserimento degli indirizzi email  nel campo “copia per conoscenza” anziché in “copia nascosta”, aveva consentito a tutti i destinatari di vedere gli indirizzi contenuti nella mailing list, con la conseguente comunicazione, da parte della società,  a terzi non autorizzati, di dati personali estremamente delicati, come quelli relativi alla salute.

L’incidente metteva anche in evidenza la mancata adozione da parte della società di misure tecniche e organizzative adeguate a ridurre il rischio di un data breach.

Dagli accertamenti del Garante per verificare la conformità dei trattamenti effettuati mediante i servizi offerti all’utenza, sono emerse inoltre altre violazioni che sono state considerate separatamente ai fini della quantificazione della sanzione amministrativa. In particolare, nell’informativa, non era indicata la base giuridica in virtù della quale veniva effettuata la comunicazione di dati personali dei pazienti che intendevano collegare il proprio account personale con quello del professionista sanitario, in qualità di titolare del trattamento, in violazione del principio di correttezza e trasparenza.

Link al documento: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9991183

di

Sanità: il Garante privacy sanziona una società per uso di dati non anonimizzati – Provvedimento del 01.06.2023

Sanità: il Garante privacy sanziona una società per uso di dati non anonimizzati - Provvedimento del 01.06.2023

Il Garante privacy ha comminato una sanzione di 15mila euro a una società per aver trattato illecitamente i dati sanitari di numerosi pazienti raccolti presso circa 7mila medici di medicina generale (Mmg), senza adottare idonee tecniche di anonimizzazione.

L’Autorità si è attivata a seguito di una segnalazione di un medico di base che lamentava una presunta violazione della disciplina privacy da parte della società, impegnata nella realizzazione di un progetto internazionale volto a migliorare le cure dei pazienti attraverso la raccolta e l’analisi di dati sanitari.

A tal fine i Mmg aderenti all’iniziativa dovevano aggiungere al gestionale in uso -denominato “Medico 2000” e fornito da un’azienda informatica partner della società – un’ulteriore funzionalità (c.d. add-on) volta ad anonimizzare automaticamente i dati dei pazienti e trasmetterli in un data base della stessa società. In cambio i medici ottenevano una serie di vantaggi, tra cui un compenso economico.

Continua a leggere
di

Garante privacy: no al controllo indiscriminato dei lavoratori. L’Autorità sanziona il comune di Bolzano per 84mila – Ordinanza ingiunzione nei confronti di Comune di Bolzano del 13 maggio 2021

Garante privacy: no al controllo indiscriminato dei lavoratori. L’Autorità sanziona il comune di Bolzano per 84mila - Ordinanza ingiunzione nei confronti di Comune di Bolzano del 13 maggio 2021

Non è possibile monitorare la navigazione internet dei lavoratori in modo indiscriminato. Indipendentemente da specifici accordi sindacali, le eventuali attività di controllo devono comunque essere sempre svolte nel rispetto dello Statuto dei lavoratori e della normativa sulla privacy.

È quanto affermato dal Garante per la protezione dei dati personali in un provvedimento sanzionatorio nei confronti del Comune di Bolzano, avviato sulla base del reclamo presentato da un dipendente che, nel corso di un procedimento disciplinare, aveva scoperto di essere stato costantemente controllato. L’amministrazione, che inizialmente gli aveva contestato la consultazione di Facebook e Youtube durante l’orario di lavoro, aveva poi archiviato il procedimento per l’inattendibilità dei dati di navigazione raccolti.

Dagli accertamenti del Garante è emerso che il Comune impiegava, da circa dieci anni, un sistema di controllo e filtraggio della navigazione internet dei dipendenti, con la conservazione dei dati per un mese e la creazione di apposita reportistica, per finalità di sicurezza della rete. Sebbene il datore di lavoro avesse stipulato un accordo con le organizzazioni sindacali, come richiesto dalla disciplina di settore, il Garante ha evidenziato che tale trattamento di dati deve comunque rispettare anche i principi di protezione dei dati previsti dal Gdpr. Il sistema, implementato dal Comune, senza aver adeguatamente informato i dipendenti, consentiva invece operazioni di trattamento non necessarie e sproporzionate rispetto alla finalità di protezione e sicurezza della rete interna, effettuando una raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web visitati dai singoli dipendenti. Il sistema raccoglieva inoltre anche informazioni estranee all’attività professionale e comunque riconducibili alla vita privata dell’interessato.

Nel provvedimento l’Autorità ha rimarcato che l’esigenza di ridurre il rischio di usi impropri della navigazione in Internet non può portare al completo annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, anche nei casi in cui il dipendente utilizzi i servizi di rete messi a disposizione del datore di lavoro.

Nell’ambito dell’istruttoria, sono state inoltre riscontrate violazioni anche in merito al trattamento dei dati relativi alle richieste di accertamento medico straordinario da parte dei dipendenti, effettuate attraverso un apposito modulo, Il modulo, messo a disposizione dall’amministrazione, prevedeva la presa visione obbligatoria da parte del dirigente dell’unità organizzativa, circostanza che comportava un trattamento di dati sulla salute illecito.

Il Garante, tenendo conto della piena collaborazione dell’amministrazione, ha disposto una sanzione di 84.000 euro per l’illecito trattamento dei dati del personale. Il Comune dovrà anche adottare misure tecniche e organizzative per anonimizzare il dato relativo alla postazione di lavoro dei dipendenti, cancellare i dati personali presenti nei log di navigazione web registrati, nonché aggiornare le procedure interne individuate e inserite nell’accordo sindacale.

Link al documento: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9669974