Aziende sanitarie: si all’Amministrazione aperta, ma senza diffondere dati sulla salute

sanità-online-120613130105_mediumIl Garante per la privacy ha richiamato alcune amministrazioni sanitarie alla corretta applicazione delle novità normative introdotte dalla legge di conversione (n.134 del 7/8/2012) del cosiddetto “Decreto Sviluppo 2012”, vietando la diffusione online dei dati sulla salute dei pazienti.

Articolo 18: quali gli obblighi di pubblicazione?

Le aziende sanitarie chiedevano in particolare se l’articolo 18 della legge, che introduce nuove disposizioni in tema di agenda digitale e trasparenza nella Pubblica Amministrazione, le obbligasse a pubblicare su internet anche i dati dei pazienti che hanno ad esempio ricevuto:

  • indennizzi per danni irreversibili (come il contagio da epatite o Hiv) causati da vaccinazioni o dalla somministrazione di emoderivati,
  • rimborsi per cure di altissima specializzazione, interventi assistenziali
  • o altri contributi legati a patologie mediche certificate.

Privacy e Trasparenza

L’Autorità ha chiarito che, per quanto riguarda le persone fisiche, l’articolo citato prevede la pubblicazione online solo dei dati di chi riceve “corrispettivi o compensi” dalla Pubblica Amministrazione e che deve in ogni caso essere interpretato alla luce dei principi fondamentali in materia di protezione dei dati personali, cristallizzati in disposizioni comunitarie che vincolano il nostro legislatore.

Il Garante ha ribadito che è il Codice della privacy vieta ai soggetti pubblici la diffusione di dati idonei a rivelare lo stato della salute di una persona e che le informazioni citate non possono essere pubblicate sul sito web delle Ausl o di altri enti.

webdesignpicPA, siti web e Linee guida del Garante

Il Garante ha ricordato infine che tutte le pubbliche amministrazioni, nel predisporre il proprio sito Internet, devono sempre rispettare le apposite cautele indicate nelle “Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web”, approvate dal Garante nel 2011

 

Annunci

Lavoro: più riservatezza negli accessi al protocollo informatico

Internet_Security_468I documenti contenenti i dati personali dei dipendenti conoscibili solo da personale autorizzato

L’accesso alle informazioni relative ai dipendenti acquisiste nel  protocollo informatico, il sistema in cui si registrano i documenti in entrata e in uscita di un’azienda o di una Pa, deve essere limitato al solo personale specificamente incaricato della gestione di determinati dati personali dei lavoratori.  Lo ha affermato il Garante privacy in un  provvedimento con il quale ha prescritto all’Ente nazionale per l’aviazione civile (Enac) alcune misure per la messa in sicurezza dei dati personali contenuti nel proprio protocollo informatico.

Adozione di un sistema di autorizzazione e formazione del Personale

Dagli accertamenti svolti dall’Autorità, anche presso le sedi di Roma e Milano, è emerso che in ragione delle modalità di utilizzo del protocollo elettronico così come configurato dall’Enac,  a seguito di scelte organizzative adottate presso la sede di Malpensa, un ampio numero di dipendenti poteva venire a conoscenza di dati personali, anche relativi all’esecuzione della prestazione lavorativa (permessi per la legge 104/92, permessi studio, documentazione riguardante sussidi per l’accesso a mense scolastiche o borse di studio, contestazioni disciplinari), riferiti a propri colleghi, indipendentemente dalle mansioni svolte.

L’intervento dell’Autorità, avviato su segnalazione di una dipendente, ha consentito di accertare  la violazione di alcune disposizioni della norma in materia di misure minime di sicurezza del sistema di gestione documentale,  poiché non erano stati individuati e configurati i profili di autorizzazione dei diversi incaricati, così da limitare l’accesso ai dati relativi ai dipendenti al solo personale assegnato a questo compito.  

L’Autorità ha quindi prescritto all’Enac  di conformarsi alla normativa configurando opportunamente il protocollo informatico in modo da segmentare la visibilità dei documenti e dei fascicoli relativi al personale ai soli dipendenti incaricati del trattamento dei dati.

L’Enac inoltre, dovrà svolgere un’attività formativa indirizzata al personale della sede di Malpensa che utilizza il sistema di gestione documentale, illustrandone compiutamente le funzionalità e le implicazioni in materia di protezione dei dati.

Copia del provvedimento è stata inviata alla  magistratura per le valutazioni di competenza in ordine alla violazione della disciplina di protezione dei dati personali relativa alle misure minime di sicurezza.

 

 

Internet: Garante privacy, presto più trasparenza sui cookie

google cookie monsterAvviata una consultazione, entro 90 giorni i contributi di gestori e consumatori su informativa per gli utenti.

Chi naviga on line potrà presto decidere in maniera libera e consapevole se far usare o no le informazioni sui siti visitati per ricevere pubblicità mirata. Lo aiuterà un’informativa semplice, chiara e di immediata comprensione sull’uso dei cookie che il Garante sta mettendo a punto.

Sulla base di quanto previsto dalla direttiva europea 2009/136, recepita di recente in Italia, l’Autorità ha infatti avviato una consultazione pubblica (Pubblicato sulla Gazzetta Ufficiale n. 295 del 19 dicembre 2012) diretta a tutti i gestori, grandi e piccoli, dei siti e alle associazioni maggiormente rappresentative dei consumatori allo scopo di acquisire contributi e suggerimenti.

Per fornire prime indicazioni sul tema e per agevolare l’elaborazione dei contributi e l’individuazione di una valida ed efficace informativa l’Autorità ha messo a punto, disponibile sul proprio sito, un documento contenente alcuni chiarimenti sulle principali questioni in materia di cookie.

cookie

Cosa sono i cookie

I cookie sono piccoli file di testo che i siti visitati inviano al terminale (computer, tablet, smartphone, notebook ecc.) dell’utente, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva.

Sono usati per eseguire:

  • autenticazioni informatiche
  • monitoraggio di sessioni
  • memorizzazione di informazioni riguardanti la navigazione on line (senza l’uso dei cookie “tecnici” alcune operazioni risulterebbero molto complesse o impossibili da eseguire)…

… ma sono molto spesso utilizzati dai siti per raccogliere importanti e delicate informazioni all’insaputa degli utenti sui loro gusti, sulle loro abitudini, sulle loro scelte.

Informativa e consenso: cookie “tecnici” e cookie “non tecnici”

Cookie tecnici: con le nuove regole europee i cookie “tecnici” possono essere utilizzati anche senza consenso, ma rimane naturalmente fermo per i gestori dei siti l’obbligo di informare gli utenti della loro presenza in maniera il più possibile semplice, chiara e comprensibile.

Cookie non tecnici: è obbligatorio invece il consenso preventivo e informato dell’utente per tutti i cookie “non tecnici”, quelli cioè che, monitorando i siti visitati, raccolgono dati personali che consentono la costruzione di un dettagliato profilo del consumatore, e che proprio per questo motivo presentano maggiori criticità per la privacy degli utenti.

I gestori dei siti non possono, dunque, installare cookie per finalità di profilazione e marketing sui terminali degli utenti senza averli prima:

  1. adeguatamente informati e
  2. aver acquisito un valido consenso.

La consultazione avviata dal Garante si concluderà entro 90 giorni dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale. Le proposte relative all’informativa semplificata potranno essere inviate all’Autorità per posta o in via telematica alla e-mail consultazionecookie@gpdp.it.

Il Garante si è riservato di valutare anche eventuali proposte che potrebbero pervenire da università e centri di ricerca.

 

Guardia di Finanza, Privacy, Clienti e gestione del Personale

privacy5Ispezioni della Guardia di Finanza in tutta Italia sul rispetto delle norme per l’uso dei dati personali nell’attività di selezione del personale presso le strutture alberghiere

Si chiama “Job Vacancies” l’operazione eseguita dai Finanzieri del Nucleo Speciale Privacy di Roma, nell’ambito delle attività di collaborazione con il Garante per la protezione dei dati personali, nei confronti di 20 società operanti nel settore alberghiero.

L’operazione effettuata in tutta Italia mirava a verificare il rispetto della normativa in materia di trattamento dei dati personali di cittadini che rispondevano ad annunci di offerte di lavoro, pubblicate su riviste e siti specializzati, inviando il proprio curriculum vitae.

Gli accertamenti ispettivi (che traggono origine da un’attività di analisi effettuata dal Nucleo, d’intesa con il Comando Unità Speciali della Guardia di Finanza) si inquadrano nell’ambito dei controlli effettuati su delega dell’Autorità e hanno come scopo innanzitutto quello di

  • sensibilizzare gli operatori del settore sul tema della protezione dei dati personali e
  • fare in modo che un’attività così cruciale in questo momento venga salvaguardata e favorita proprio perché svolta nel rispetto delle regole.

In particolare, riguardo alla necessità, più volte ribadita dal Garante, che i soggetti economici che sollecitano l’invio di curricula vitae forniscano sempre preventivamente agli interessati un’idonea informativa. Informativa che, nel caso di annunci pubblicati su quotidiani o periodici, può anche essere resa mediante modalità semplificate.

carousel-education-curricula_tcm7-105387I controlli in strutture alberghiere: Informative ai Candidati all’assunzione e ai Clienti

I controlli effettuati hanno riguardato società che gestiscono strutture alberghiere di grandi dimensioni. In 10 casi sono state accertate violazioni alla legge relativamente all’omessa informativa a coloro che inviavano i propri curricula circa l’uso dei propri dati quali ad esempio:

  • l’identità del titolare del trattamento
  • l’eventuale inserimento all’interno di banche dati
  • l’ambito di comunicazione dei dati  
  • l’esercizio dei diritti sui propri dati riconosciuti per legge agli interessati. 

videosorveglianza3

In altri casi è stata riscontrata la mancata informativa ai Clienti che fornivano i propri dati per la prenotazione on line o l’assenza di cartelli che avvisano la clientela della presenza di telecamere negli alberghi. Per tutte queste violazioni sono state contestate le sanzioni amministrative previste dal Codice.

Nell’ambito dell’attività di controllo, in 3 casi, il Nucleo Privacy ha rilevato che l’istallazione dei sistemi di videosorveglianza all’interno delle strutture alberghiere era avvenuto in violazione delle garanzie a tutela dei lavoratori previste dall’art. 4 dello Statuto dei lavoratori, procedendo anche a segnalare il reato all’Autorità Giudiziaria.