GARANTE della PROTEZIONE dei DATI PERSONALI – Nota n. 508 del 4 agosto 2023

Lotteria degli scontrini “istantanea”: via libera del Garante privacy – Reddito di inclusione: sì del Garante privacy al sistema informativo – Whistleblowing: fissate le garanzie per il dipendente che si rivolge all’Anac – Sanità: il Garante sanziona una Asl per diffusione di dati sanitari di un paziente

Lotteria degli scontrini “istantanea”: via libera del Garante privacy

Nuova modalità di partecipazione alla “Lotteria degli Scontrini”. Il Garante per la protezione dei dati personali ha dato via libera all’Agenzia delle Dogane e dei Monopoli (ADM) sullo schema di provvedimento interdirettoriale che introduce la “Lotteria ad estrazione istantanea” e quindi la possibilità per il cliente di partecipare direttamente al concorso attraverso l’uso di un codice bidimensionale stampato sullo scontrino.

Nel dare il via libera il Garante ha rilevato che anche questa nuova modalità di gioco, che si affianca a quella già in uso dal 2020, garantisce il rispetto della normativa in materia di protezione dei dati personali, consentendo al contribuente di partecipare alle estrazioni anche senza fornire il proprio codice lotteria agli esercenti. In particolare, lo schema recepisce le indicazioni fornite dall’Autorità nel corso delle interlocuzioni con l’ADM per assicurare le garanzie a tutela degli utenti minorenni – che non potranno partecipare alla Lotteria- e quelle relative ai controlli sugli strumenti di pagamento elettronico, che dovranno essere effettivamente riferibili al vincitore o a un componente del suo nucleo familiare.

L’Autorità ha ritenuto inoltre adeguate le misure tecniche e di sicurezza sulla protezione dei dati personali previste nello schema di provvedimento e individuate nella valutazione di impatto.

Per partecipare con la nuova modalità, il cliente – dopo aver scaricato l’app “Gioco Legale” ed essersi autenticato tramite Spid o Cie – potrà inquadrare con il proprio smartphone il codice (QR e codice simile) presente sullo scontrino emesso dall’esercente a fronte del pagamento elettronico. A seguito della scansione l’app assocerà il codice lotteria del cliente all’acquisto effettuato. In mancanza del codice lotteria, l’app ne creerà uno nuovo che abbinerà all’acquisto.

Il codice includerà, tra gli altri dati, il codice lotteria del cliente (se presentato al momento di effettuare il pagamento elettronico alla cassa), i dettagli dello scontrino emesso (riferiti a numero, ora, data e ammontare della spesa effettuata) e le informazioni sull’esercente (riferite a partita IVA, matricola del registratore telematico o matricola di cassa). In caso di vincita, l’app “Gioco Legale” avviserà istantaneamente il cliente con una notifica e invierà – previa compilazione di un questionario – un codice bidimensionale attraverso cui il cliente potrà riscuotere il premio presso uno degli esercizi abilitati, entro il termine di 30 giorni.

Reddito di inclusione: sì del Garante privacy al sistema informativo

Chieste adeguate misure a protezione dei dati dei beneficiari

Il Garante per la protezione dei dati personali ha espresso parere favorevole su due schemi di decreto del Ministero del lavoro e delle politiche sociali che riguardano l’istituzione e il funzionamento del Sistema informativo per l’inclusione sociale e lavorativa (SIISL) e del Supporto per la formazione e il lavoro (SFL).

Il parere positivo è stato reso, in via d’urgenza, pochi giorni dopo la ricezione degli schemi da parte del Ministero. Gli schemi tengono comunque conto delle osservazioni fornite dall’Ufficio del Garante, nell’ambito delle interlocuzioni informali intercorse, volte a rendere conformi i trattamenti alla normativa in materia di protezione dei dati personali.

Nel SIISL e nel SFL vengono infatti trattati su larga scala dati personali relativi alla salute, alla condizione sociale e alla situazione economica e finanziaria, elaborati anche in base alla valutazione dello stato di bisogno dei beneficiari (compresi soggetti vulnerabili, anche minori d’età).

Poiché il trattamento di una mole così rilevante di dati comporta rischi per i diritti di milioni di beneficiari, il Garante ha quindi chiesto l’introduzione negli schemi di una serie di misure a tutela delle persone interessate. Le misure riguardano, in particolare, la precisazione dei ruoli assunti dai diversi soggetti coinvolti nel trattamento, l’esatta individuazione delle tipologie di dati trattati e l’origine degli stessi, delle operazioni eseguite, dei soggetti cui possono essere comunicati e delle categorie di soggetti autorizzati all’accesso, nonché i tempi di conservazione delle informazioni e l’individuazione di misure tecniche e organizzative da adottare con riferimento alle procedure di autenticazione informatica, nel rispetto delle discipline di settore e dei principi di liceità, correttezza e trasparenza, di minimizzazione dei dati e di integrità e riservatezza.

Whistleblowing: fissate le garanzie per il dipendente che si rivolge all’Anac

Ok del Garante alle Linee guida dell’Autorità anticorruzione

Alla possibilità di segnalare con specifiche garanzie di riservatezza un eventuale illecito presso la propria amministrazione o la propria azienda (“whistleblowing”), si aggiunge ora la possibilità di inviare una segnalazione direttamente all’Autorità Anticorruzione. Questa è una delle innovazioni introdotte dalla recente riforma della disciplina del whistleblowing, cui si riferiscono le Linee guida dell’Anac relative alla presentazione e gestione delle segnalazioni cosiddette “esterne”, sulle quali il Garante ha espresso parere favorevole.

Il testo recepisce le indicazioni fornite dall’Autorità nel corso delle interlocuzioni con Anac per garantire il rispetto della protezione dei dati delle persone coinvolte in tutto il processo di gestione della segnalazione, con particolare riguardo alla riservatezza dell’identità del segnalante e del contenuto della segnalazione stessa, anche mediante il ricorso alla crittografia.

La segnalazione “esterna” può essere effettuata in caso di assenza o inefficacia dei canali di segnalazione interna degli enti pubblici o privati ove il lavoratore presta servizio oppure in caso di timore di ritorsione o rischi per l’interesse pubblico.

Le violazioni possono essere segnalate ad Anac in modalità digitale, tramite una specifica piattaforma online, o tramite i canali tradizionali (ad es. servizio telefonico, incontro in presenza) e devono riguardare illeciti circostanziati o che si ritiene potrebbero essere commessi sulla base di elementi concreti.

Le Linee guida contengono anche chiarimenti utili sui principali aspetti del nuovo quadro normativo e forniscono indicazioni e princìpi che i datori di lavoro potranno tenere in considerazione nell’attivazione dei propri canali di segnalazione interna.

In continuità con gli orientamenti del Garante in materia, le Linee guida di Anac chiariscono, anche, l’ambito delle condotte segnalabili e ribadiscono la necessità di garantire – nel caso delle segnalazioni tramite piattaforma informatica – la non tracciabilità del segnalante per non vanificare le tutele di riservatezza previste dalla legge, ma di tracciare, a tutela della sicurezza del trattamento, le operazioni effettuate dal personale autorizzato a gestire le segnalazioni.

Sanità: il Garante sanziona una Asl per diffusione di dati sanitari di un paziente

Pubblicata una scheda di pronto soccorso su un cartellone pubblicitario

Viene a conoscenza da una chat che il proprio nome e cognome erano identificabili in un cartellone pubblicitario del pronto soccorso raffigurante un operatore sanitario al pc.

È accaduto al paziente di una Asl che dopo la “scoperta” ha presentato un reclamo al Garante privacy per tutelare i propri diritti.

L’Autorità, che nel frattempo aveva ricevuto anche la notifica di data breach dalla Asl in qualità di titolare del trattamento a causa della diffusione dei dati del paziente, ha accertato che il cartellone raffigurava effettivamente un operatore sanitario seduto davanti allo schermo del pc sul quale era visibile una scheda di pronto soccorso con i dati anagrafici del paziente associati alla prestazione sanitaria ricevuta. Il cartellone, peraltro, era posizionato nel corridoio principale di ingresso del pronto soccorso, consentendo così a chiunque di venire a conoscenza di queste informazioni.

Alla richiesta di spiegazioni del Garante, l’Azienda sanitaria ha affermato che la pubblicazione dei dati era stata causata da mera disattenzione e che il cartellone era rimasto affisso per poche settimane.

L’Autorità, nel ricordare che è vietata la diffusione di qualsiasi informazione da cui si possa desumere lo stato di salute, ha applicato alla Asl una sanzione di 20mila euro per trattamento illecito di dati personali.