GARANTE PROTEZIONE DATI PERSONALI – Nota 11 marzo 2021, n. 474

Il Garante privacy sanziona il Ministero dello sviluppo economico – Garante privacy, sì alla nuova funzionalità dell’app Immuni – Sanzione del Garante privacy alla Regione Lazio

Il Garante privacy sanziona il Ministero dello sviluppo economico

Garante privacy, sì alla nuova funzionalità dell’app Immuni

Sanzione del Garante privacy alla Regione Lazio

Il Garante privacy sanziona il Ministero dello sviluppo economico

Nominato in ritardo il Responsabile della protezione dati e diffusi i curricula di 5000 manager

Il Garante per la privacy ha ordinato al Mise il pagamento di una sanzione di 75mila euro per non avere nominato il Responsabile della protezione dati (Rpd) entro il 28 maggio 2018, data di piena applicazione del Gdpr, e avere diffuso sul sito web istituzionale informazioni personali di oltre 5mila manager.

Per la prima volta l’Autorità ha sanzionato una Pa per non avere designato il Rdp entro il termine stabilito ed avere provveduto alla nomina e alla comunicazione al Garante dei dati di contatto con notevole ritardo. Ciò nonostante il Garante avesse, fin dal maggio 2017, avviato una articolata attività informativa rivolta a tutti i Ministeri, indicando proprio la nomina del Rpd tra le priorità da tenere in considerazione nel percorso di adeguamento al nuovo quadro giuridico del Regolamento.

La mancata nomina, è emersa nel corso di una istruttoria, aperta dall’Ufficio anche a seguito di alcune segnalazioni, con la quale è stata accertata la presenza sul sito del Ministero di una pagina web con un elenco di manager nella quale erano visibili e liberamente scaricabili i dati personali di più di cinquemila professionisti: nominativo, codice fiscale, e-mail, curriculum vitae integrale con telefono cellulare e, in alcuni casi copia del documento di riconoscimento e della tessera sanitaria. All’elenco avrebbero dovuto attingere le piccole e medie imprese, destinatarie dei voucher previsti dalla legge di bilancio 2019, per l’acquisto di consulenze volte a sostenere i processi di trasformazione tecnologica e digitale.

Dal sito era inoltre possibile scaricare anche il decreto direttoriale con il quale l’elenco era stato approvato, contenente dati e informazioni di tutti i manager. Nel rilevare l’illiceità del trattamento, il Garante ha ritenuto che il decreto direttoriale richiamato dal Mise, contrariamente a quanto da esso sostenuto, non costituisce una adeguata base normativa per la diffusione dei dati online.

L’Autorità ha ritenuto, inoltre, che la pubblicazione integrale dei curricula, senza alcun filtro, rappresenta un trattamento di dati sproporzionato, non in linea con i principi del Gdpr. Per consentire l’incontro tra la domanda delle società e l’offerta di consulenza da parte dei manager sarebbe stato sufficiente utilizzare strumenti meno invasivi rispetto alla pubblicazione sul web dei dati e delle informazioni di tutti i manager, evitando così il rischio di esporli ad utilizzi non legittimi da parte di terzi (es.: furti d’identità, profilazione illecita, phishing, ecc.). Si sarebbero potute prevedere, ad esempio, forme di accesso selettivo ad aree riservate del sito istituzionale mediante l’attribuzione di credenziali di autenticazione (es. username o password), oppure ancora tramite gli strumenti previsti dal CAD, che permettessero la consultazione solo alle Pmi interessate.

Garante privacy, sì alla nuova funzionalità dell’app Immuni

Il Garante per la privacy, nell’esprimersi sugli aggiornamenti del Sistema di allerta Covid-19, ha autorizzato il Ministero della salute ad attivare una nuova funzionalità dell’app Immuni che consente a una persona risultata positiva di attivare in autonomia la procedura per allertare i suoi contatti stretti.

Con l’introduzione della nuova funzionalità la persona risultata positiva potrà interagire direttamente con il Sistema di allerta Covid-19 inserendo, nell’apposita sezione dell’app Immuni, il codice univoco nazionale (Cun) attribuito dal Sistema Tessera Sanitaria al proprio referto di un test diagnostico per Covid-19 che ha avuto esito positivo, insieme alle ultime 8 cifre della tessera sanitaria. Il Sistema di allerta Covid-19, dopo aver verificato i dati forniti, provvederà ad abilitare il caricamento delle chiavi temporanee (c.d. Tek) generate dallo smartphone dell’utente risultato positivo, necessarie ad allertare i suoi contatti stretti. Una volta effettuato con successo il caricamento delle Tek, il Sistema di allerta Covid-19 invaliderà il codice Cun, così da impedirne ulteriori utilizzi.

La versione aggiornata della valutazione di impatto predisposta dal Ministero è stata ritenuta in linea con le indicazioni fornite dal Garante nel corso delle interlocuzioni informali avute con i rappresentati del Ministero stesso, del Mef, del Dipartimento per la trasformazione digitale e della Sogei.

L’attenzione del Garante si è incentrata in particolare sulle misure adottate a tutela della sicurezza del Sistema di allerta Covid-19 e sulle nuove funzionalità introdotte dal Ministero per semplificare l’utilizzo dell’app Immuni da parte degli utenti risultati positivi, rendendo più efficace l’invio delle notifiche di esposizione al rischio di contagio ai loro contatti stretti.

Sanzione del Garante privacy alla Regione Lazio

Non aveva designato responsabile del trattamento la cooperativa che gestiva il call center del CUP

Il Garante per la protezione dei dati personali ha sanzionato la Regione Lazio per 75.000 euro per non aver nominato responsabile del trattamento dati la Società Cooperativa Capodarco, a cui l’Ente aveva affidato la gestione delle prenotazioni delle prestazioni sanitarie, attraverso il call center regionale (ReCUP).

La società ha dunque trattato i dati dei pazienti in modo illecito per un decennio, dal 1999 al 7 gennaio 2019, data in cui la Regione Lazio, in qualità di titolare, ha designato formalmente la Cooperativa responsabile del trattamento, ben oltre l’inizio di piena applicazione del Regolamento europeo in materia di protezione dei dati personali.

Con il provvedimento il Garante ha ribadito che le società che prestano servizi per conto del titolare e che di conseguenza trattano i dati personali degli utenti, devono essere designate responsabili del trattamento. Il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, prevede nel dettaglio le regole e i limiti con cui devono essere trattati i dati personali. Il responsabile è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare”.

Inoltre, come recentemente evidenziato dall’Edpb, il Comitato che riunisce le Autorità di protezione dati dell’Ue, l’assenza di una chiara definizione del rapporto tra titolare e responsabile può sollevare il problema della mancanza di base giuridica su cui ogni trattamento deve fondarsi: ad esempio, per quanto riguarda la comunicazione dei dati tra titolare e responsabile.

Rilevato l’illecito, l’Autorità ha multato la Regione per 75.000 euro ed ha applicato la sanzione accessoria della pubblicazione del provvedimento sul sito dell’Autorità.

Il Garante ha ritenuto invece sufficiente ammonire il titolare della Cooperativa perché la Società Capodarco aveva più volte rappresentato alla Regione la necessità di essere nominata responsabile del trattamento e messo in atto misure conformi alla disciplina privacy, istituendo, ad esempio, il registro dei trattamenti.