GARANTE PROTEZIONE DATI PERSONALI – Nota 30 maggio 2022, n. 490 – Newsletter del 30/05/2022 – Revenge porn: primi interventi del Garante privacy a tutela di potenziali vittime – Data breach: Garante privacy, sanziona Inail per 50mila euro – Piattaforma per il contrassegno unificato disabili europeo: ok del Garante privacy

Newsletter del 30/05/2022 – Revenge porn: primi interventi del Garante privacy a tutela di potenziali vittime – Data breach: Garante privacy, sanziona Inail per 50mila euro – Piattaforma per il contrassegno unificato disabili europeo: ok del Garante privacy

Revenge porn: primi interventi del Garante privacy a tutela di potenziali vittime

Sono partiti i primi cinque provvedimenti adottati dal Garante privacy a tutela di potenziali vittime di revenge porn [vedi doc. web n. 9775414, 9775327, 9775401, 9775948, 9775932]. L’Autorità ha ingiunto in via d’urgenza a Facebook, Instagram e Google di adottare immediatamente tutte le misure necessarie ad impedire la diffusione sulle relative piattaforme del materiale (video, foto) segnalato all’Ufficio del Garante da alcune persone che ne temevano la messa on line. Il revenge porn e, più in generale, il fenomeno della pornografia non consensuale, consiste nella diffusione di immagini pornografiche o sessualmente esplicite a scopo vendicativo (ad esempio per “punire” l’ex partner che ha deciso di porre fine ad una relazione) o per denigrare pubblicamente, bullizzare e molestare la persona cui si riferiscono.

L’attuale intervento rientra tra i compiti attribuiti all’Autorità dalle modifiche normative introdotte al Codice privacy a dicembre 2021. Ora spetta infatti al Garante ricevere segnalazioni da parte di chiunque, compresi i minori con più di quattordici anni, abbia un fondato motivo di ritenere che registrazioni audio, video, foto a contenuto sessualmente esplicito che lo riguardano possano essere pubblicati sulle piattaforme digitali, senza il suo consenso. Ricevuta la segnalazione il Garante si attiva tempestivamente per disporre il blocco preventivo nei confronti delle piattaforme indicate dal segnalante (di regola, attraverso l’implementazione di specifiche tecnologie, quali ad es. codici hash).

Data breach: Garante privacy, sanziona Inail per 50mila euro – L’ente ha subito tre violazioni di dati sugli infortuni dei lavoratori

Tutti gli enti pubblici, in particolare quelli con rilevanti competenze istituzionali, devono adottare adeguate misure tecniche e organizzative per evitare violazioni dei dati personali. Lo ha ribadito il Garante per la privacy nel sanzionare l’Inail, che ha registrato tre incidenti informatici che hanno comportato l’accesso non autorizzato ai dati di alcuni lavoratori, in particolare quelli sulla salute e sugli infortuni subiti.

Dall’istruttoria del Garante è emerso che, almeno in tre diverse occasioni, lo “Sportello Virtuale Lavoratori” gestito dall’Ente avrebbe consentito ad alcuni utenti di consultare accidentalmente le pratiche di infortunio e malattia professionale di altri lavoratori. In un caso, peraltro, l’incidente si è verificato a seguito dell’esecuzione di una versione non aggiornata dello “Sportello Virtuale Lavoratori”, a causa di un errore umano.

Nel provvedimento, l’Autorità ha rimarcato che un Ente con così significative competenze istituzionali, che comportano il trattamento di dati particolarmente delicati riferibili a interessati anche vulnerabili, è tenuto ad adottare, in linea con il principio di responsabilizzazione richiesto dal Gdpr, misure tecniche e organizzative che assicurino su base permanente la riservatezza dei dati trattati, nonché l’integrità dei relativi sistemi e servizi.

Il Garante per la privacy, tenuto conto della piena collaborazione offerta dalla pubblica amministrazione nel corso dell’istruttoria e del numero esiguo di persone coinvolte nei data breach individuati, ha comminato all’Ente una sanzione di 50.000 euro.

Piattaforma per il contrassegno unificato disabili europeo: ok del Garante privacy

Via libera del Garante per la protezione dei dati personali al Ministero delle infrastrutture e della mobilità sostenibili (MIMS) sul documento relativo alle specifiche tecniche della Piattaforma unica nazionale per la gestione dei CUDE, il Contrassegno Unificato Disabili Europeo, associato ai numeri di targa di veicoli che trasportano persone con disabilità.

La proposta di semplificazione contiene la disciplina dettagliata di tutti gli elementi previsti dal Regolamento (UE) nonché dal Codice a tutela della protezione dei dati e la relativa valutazione di impatto.

Il documento specifica i dati trattati e i soggetti abilitati ad accedere alla Piattaforma, quali il titolare del contrassegno, il personale autorizzato del Comune e il personale autorizzato ad effettuare i controlli previsti dal Codice della strada. La Piattaforma, oltre a non prevedere la raccolta di dati riferibili al titolare/beneficiario del contrassegno, in un’ottica di minimizzazione, non acquisirà neppure il codice alfanumerico identificativo del CUDE.

La soluzione tecnica proposta ha tenuto conto di alcune indicazioni fornite dall’Ufficio del Garante nel corso delle interlocuzioni intercorse, riguardanti, in particolare, il ruolo assunto dai vari soggetti coinvolti nel trattamento dei dati personali (MIMS, Comuni, Enti aggregatori), le funzionalità della Piattaforma, i profili di autorizzazione, le modalità per rendere l’informativa agli interessati e quelle per l’esercizio dei diritti, i tempi di conservazione dei dati, le opportune misure tecniche e organizzative e le procedure di autenticazione degli utenti. La consultazione delle informazioni della piattaforma da parte degli operatori autorizzati dei Comuni e dei cd. Enti aggregatori, nonché dei soggetti deputati ad effettuare i controlli previsti dal Codice della Strada, sarà consentita solo per i rispettivi compiti. Gli accessi e le operazioni effettuate saranno tracciati.

Preso atto che la soluzione tecnica proposta dal MIMS risulta conforme ai requisiti previsti dalla disciplina che tutela i dati personali, il Garante ha espresso parere favorevole.