GARANTE PROTEZIONE DATI PERSONALI – Nota 16 gennaio 2014, n. 383
No al far west nel mercato del lavoro su Internet – Sì all’accesso della madre naturale ai dati clinici della figlia non riconosciuta -Antiriciclaggio: adeguare i controlli ai “profili di rischio
No al far west nel mercato del lavoro su Internet
Intervento a tutela di migliaia di aspiranti lavoratori iscritti ad un sito web
Maggiore trasparenza e correttezza nel mercato del lavoro via Internet. E’ quanto chiede il Garante privacy che ha vietato ad una società l’uso dei dati personali di oltre 400 mila aspiranti lavoratori raccolti e gestiti in modo illecito.
La società che svolgeva attività di intermediazione attraverso il proprio sito web senza la prescritta autorizzazione ministeriale, non aveva neppure conferito, come necessario, i dati dei candidati a Cliclavoro, il portale del Ministero del lavoro che costituisce la Borsa continua nazionale del lavoro. L’azienda raggiunta dal divieto del Garante non si limitava a mettere a disposizione una mera “bacheca digitale” in cui rendere pubbliche le offerte di lavoro e le candidature, ma offriva veri e propri servizi di intermediazione (consultazione di un database con centinaia di migliaia di curricula, comunicazione di informazioni sui candidati, invio di offerte di lavoro “su misura”, ecc.). Un’attività effettuata, peraltro, senza fornire agli utenti che si registravano al sito una informativa trasparente con l’indicazione di tutte le operazioni realmente svolte.
La grave situazione è emersa nel corso di verifiche ispettive disposte dall’Autorità a seguito di alcune segnalazioni in cui si lamentavano irregolarità nel trattamento dei dati personali. I candidati denunciavano il fatto che per poter completare la procedura di registrazione al sito e concorrere così alle offerte di lavoro erano obbligati a dare il consenso, tramite un’opzione preselezionata, alla ricezione di informazioni promozionali per posta, telefono, email, sms.
Alla luce delle verifiche svolte il Garante, oltre ad inibire l’uso dei dati raccolti senza autorizzazione, ha dichiarato illeciti e ha vietato anche questi trattamenti perché effettuati in violazione della norma del Codice privacy che garantisce a chiunque la possibilità di esprimere un consenso libero e informato per ogni tipo di operazione che la società intende svolgere.
Dopo l’intervento del Garante la società non potrà più utilizzare le informazioni raccolte né per attività di intermediazione né per attività promozionali. I dati potranno essere solo conservati in vista di un’eventuale acquisizione da parte dell’autorità giudiziaria o per la tutela dei diritti in sede giudiziaria.
L’Autorità si è riservata l’applicazione di una sanzione amministrativa per l’inidonea informativa agli utenti. Il provvedimento è stato inviato al Ministero del lavoro per le valutazioni di competenza.
Sì all’accesso della madre naturale ai dati clinici della figlia non riconosciuta
Grazie alla legge sulla privacy una donna potrà avere accesso ai dati clinici della figlia non riconosciuta al momento della nascita e deceduta pochi giorni dopo il parto per gravi malformazioni. Potrà così conoscere la patologia genetica da cui era affetta la neonata e valutarne il possibile rischio di trasmissione in caso di nuova gravidanza.
Dopo il no dell’ospedale che aveva rigettato la sua richiesta di accesso ai dati sanitari della bambina non risultando alcun ricovero di una sua figlia legittima, la donna ha presentato ricorso al Garante privacy. E l’Autorità, nell’accoglierlo, ha ordinato all’azienda ospedaliera, sulla base a una specifica norma del Codice privacy, di consentire alla ricorrente l’accesso a tutti i dati sanitari contenuti nella cartella clinica della neonata. Il Codice riconosce, infatti, il diritto di accesso ai dati di una persona deceduta anche a “chi ha un interesse proprio”, e il Garante ha ritenuto che la ricorrente in qualità di madre, anche solo naturale, della neonata possa legittimamente esercitare questo diritto al fine di disporre di informazioni indispensabili all’accertamento e alle modalità di trasmissione di una patologia genetica di cui potrebbe essere portatrice. E poter così valutare il rischio procreativo e affrontare una ulteriore scelta riproduttiva consapevole e informata.
Antiriciclaggio: adeguare i controlli ai “profili di rischio”
I controlli antiriciclaggio effettuati da banche e intermediari finanziari devono rispettare le garanzie previste dalla normativa sulla riservatezza ed essere proporzionati al profilo di rischio del cliente e alle caratteristiche dell’operazione da effettuare.
E’ quanto stabilito dal Garante privacy che ha ordinato a Poste italiane di modificare in questo senso la propria rete informatica e di istruire adeguatamente il personale. Il sistema di Poste attualmente prevede un blocco automatico allo sportello per tutte le operazioni superiori ad un certo importo e controlli non solo sugli effettivi titolari dei rapporti ma anche sui semplici esecutori di una operazione.
Il caso è stato portato all’attenzione dell’Autorità da un dipendente pubblico che si è recato all’ufficio postale per effettuare un versamento di poche migliaia di euro per conto del Comune presso il quale lavora. In tale occasione l’impiegato allo sportello, anziché limitarsi a “identificarlo” come semplice esecutore di un’operazione intestata all’ente, ha aperto una verifica nei suoi confronti e analizzato i suoi rapporti personali con Poste (il conto corrente cointestato con il padre e una tessera prepagata). Il dipendente si è allora rivolto al Garante privacy lamentando una “palese intromissione” nella sua sfera di riservatezza per aver subito controlli ingiustificati. Al dipendente comunale era stato inoltre richiesto, per poter effettuare il versamento, di aggiornare i dati personali relativi al suo conto corrente.
Nell’accogliere i rilievi sollevati dall’interessato il Garante ha ritenuto illecito il comportamento di Poste e ha prescritto alla società di adottare opportune misure formative e tecnico organizzative in grado di prevenire trattamenti di dati personali che esulino dal criterio dell'”approccio basato sul rischio” fissato dalla normativa antiriciclaggio. Secondo il Garante, infatti, i controlli della clientela, cui sono tenuti gli intermediari finanziari in base alle norme antiriciclaggio, oltre a rispettare le garanzie stabilite dalla normativa in materia di protezione dei dati personali, devono anche risultare “proporzionati” al rischio di riciclaggio rapportato al tipo di cliente e all’operazione che intende effettuare. Criterio disatteso nel caso in esame, in cui sono state svolte verifiche obiettivamente eccedenti e non giustificate dal basso “profilo di rischio” di una persona delegata dal Comune, dall’esiguità dell’importo e dal tipo di operazione (acquisto di semplici buoni lavoro da assegnare ad alcuni pensionati).
