Newsletter del 24/01/23 – Sanità: Garante sanziona tre Asl friulane per uso algoritmo – Whistleblowing: sì del Garante privacy al recepimento della direttiva Ue – Decreto trasparenza e lavoro: le prime indicazioni del Garante – Ok del Garante Privacy alla nuova Carta della cultura

 

NEWSLETTER N. 499 del 24 gennaio 2023


Sanità: Garante sanziona tre Asl friulane per uso algoritmo

 

Il Garante per la privacy ha sanzionato tre Asl friulane [doc. web n. 9844989, 9845156, 9845312] che, attraverso l’uso di algoritmi, avevano classificato gli assistiti in relazione al rischio di avere o meno complicanze in caso di infezione da Covid-19.

Le Asl avevano elaborato i dati presenti nelle banche dati aziendali allo scopo di attivare nei confronti degli assistiti opportuni interventi di medicina di iniziativa e individuare per tempo i percorsi diagnostici e terapeutici più idonei.

Nel corso dell’istruttoria dell’Autorità, che si era mossa dopo la segnalazione di un medico, è infatti emerso che i dati degli assistiti erano stati trattati in assenza di una idonea base normativa, senza fornire agli interessati tutte le informazioni necessarie (in particolare sulle modalità e finalità del trattamento) e senza aver effettuato preliminarmente la valutazione d’impatto prevista dal Regolamento Ue in materia di protezione dati.

L’Autorità ha ribadito che la profilazione dell’utente del servizio sanitario, sia regionale o nazionale, determinando un trattamento automatizzato di dati personali volto ad analizzare e prevedere l’evoluzione della situazione sanitaria del singolo assistito e l’eventuale correlazione con altri elementi di rischio clinico, può essere effettuata solo in presenza di un idoneo presupposto normativo, nel rispetto di requisiti specifici e garanzie adeguate per i diritti e le libertà degli interessati, mancanti nel caso di specie.

Accertate dunque le violazioni e valutato che nel caso specifico le operazioni, attraverso l’uso di algoritmi, avevano riguardato dati sulla salute di un ingente numero di assistiti, il Garante ha ordinato a ognuna delle tre Aziende di pagare la sanzione di 55.000 euro e di procedere alla cancellazione dei dati elaborati.

 



Whistleblowing: sì del Garante privacy al recepimento della direttiva Ue

Parere favorevole del Garante privacy sullo schema di decreto legislativo che dà attuazione alla direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, la cd. direttiva whistleblowing.

Lo schema di decreto riconduce ad un unico testo normativo la disciplina relativa alla tutela delle persone che segnalano violazioni di norme, tra le quali quelle in materia di protezione dati, di cui siano venute a conoscenza in ambito lavorativo, sia pubblico che privato. Dall’ambito di applicazione del decreto sono escluse contestazioni o rivendicazioni di carattere personale nei rapporti individuali di lavoro o di impiego pubblico e le segnalazioni di violazioni in materia di sicurezza nazionale o di appalti relativi ad aspetti di difesa o sicurezza nazionale.

Lo schema di decreto legislativo recepisce pressoché tutte le indicazioni fornite dall’Autorità al Governo nell’ambito dei lavori preliminari alla stesura del testo attuale, con particolare riguardo alla nozione di violazione, al perfezionamento degli obblighi di riservatezza, alla revisione del termine massimo di conservazione della documentazione.

Lo schema prescrive che il canale di segnalazione deve garantire la riservatezza assoluta del segnalante, delle persone coinvolte e del contenuto della segnalazione stessa (anche mediante il ricorso alla crittografia).

Le segnalazioni possono essere effettuate in forma scritta, anche con modalità informatiche, in forma orale, per telefono o attraverso sistemi di messagistica vocale, oppure infine mediante un incontro diretto. Le informazioni sulle modalità per effettuare il whistleblowing devono essere pubblicate nel sito internet del datore di lavoro in modo chiaro, visibile e accessibile. Con le stesse modalità e garanzie di riservatezza è inoltre prevista la possibilità di effettuare la segnalazione su di un canale esterno attivato presso l’ANAC in caso di assenza o inefficacia dei canali di segnalazione interna, di timore di ritorsione o pericolo per l’interesse pubblico.

Le segnalazioni possono essere conservate solo per il tempo necessario alla loro definizione e comunque per non più di cinque anni a decorrere dalla data di comunicazione dell’esito finale.

 



Decreto trasparenza e lavoro: le prime indicazioni del Garante
Al via il tavolo di confronto con Ministero e Ispettorato Nazionale del Lavoro

Maggiori controlli e rigorose garanzie per l’utilizzo di sistemi decisionali o di monitoraggio automatizzato nel rapporto di lavoro, pubblico e privato. Conciliare il rispetto del Gdpr con il Decreto Trasparenza. Supportare i datori di lavoro nella corretta applicazione della nuova normativa.

Queste le prime indicazioni, fornite dal Garante per la privacy nella comunicazione inviata al Ministero del Lavoro e all’Ispettorato Nazionale del Lavoro in risposta ai numerosi quesiti ricevuti
da Pa e imprese.

Nella nota, il Garante ha inoltre manifestato la propria disponibilità ad avviare un tavolo di confronto volto a definire una corretta interpretazione delle norme introdotte dal cosiddetto Decreto Trasparenza.

Il decreto, che si applica ai contratti di tipo subordinato e ad altre forme di lavoro, ha introdotto, tra l’altro, l’obbligo per il datore di lavoro di informare adeguatamente i lavoratori nel caso utilizzi sistemi decisionali o di monitoraggio automatizzati ai fini della assunzione o del conferimento dell’incarico, o per altre attività collegate al rapporto di lavoro e alla sua gestione.

I dipendenti, ad esempio, dovranno poter conoscere i parametri principali utilizzati per programmare o addestrare i sistemi automatizzati, inclusi i meccanismi di valutazione delle prestazioni nonché la robustezza e la cybersicurezza dei sistemi. Tali obblighi informativi, ha chiarito il Garante, non sostituiscono quelli già previsti dal Gdpr.

L’Autorità ha anche ricordato che l’introduzione delle nuove garanzie non modifica le tutele già previste dal Regolamento UE per la protezione dei dati personali e dallo Statuto dei lavoratori. L’adozione di sistemi di monitoraggio nel contesto lavorativo deve quindi sempre essere oggetto di una preliminare verifica, da parte del datore di lavoro, delle condizioni di liceità stabilite dalla disciplina in materia di controlli a distanza, nonché di una valutazione dei rischi per verificarne l’impatto sui diritti e sulle libertà degli interessati.

Riguardo infine a sistemi particolarmente invasivi, come gli strumenti di machine learning, di rating e ranking, il Garante ha sottolineato che il loro impiego pone criticità in termini di proporzionalità e rischia di porsi in contrasto con i principi di protezione dei dati e con le norme nazionali di settore a tutela della libertà, della dignità e della sfera privata del lavoratore.

 



Ok del Garante Privacy alla nuova Carta della cultura

Parere favorevole del Garante per la protezione dei dati personali alle nuove disposizioni attuative per la Carta della cultura, che sostituisce il Bonus 18app. 

La Carta della cultura è stata istituita nell’ambito della legge 15 del 2020 per contrastare la povertà educativa e la promozione e il sostegno della lettura.

Si tratta di una carta elettronica di importo nominale di 100 euro, utilizzabile entro un anno dal rilascio da cittadini italiani e stranieri residenti nel territorio nazionale ed appartenenti a nuclei familiari economicamente svantaggiati per l’acquisto di libri, prodotti e servizi digitali.

Con il nuovo decreto ministeriale sottoposto al Garante, si prevede, per la realizzazione della Carta della cultura, il riuso delle “applicazioni software 18app”, con analoghi trattamenti di dati personali, che comportano anche il riutilizzo dei dati degli esercenti già raccolti nell’ambito dell’iniziativa, consentendo però a questi ultimi di richiedere la cancellazione dall’elenco.

Il decreto prevede una “corretta definizione dei ruoli nell’ambito del trattamento”, di cui è titolare il Ministero della cultura, che si avvale, come responsabili, di PagoPA (realizzazione di una sezione dedicata sull’App IO, per la richiesta della Carta), di Consap (liquidazione delle fatture), e di Sogei (realizzazione e gestione della piattaforma).

Anche le categorie di dati trattati, secondo il parere del Garante, sono conformi alla normativa privacy. Per accedere alla graduatoria dei beneficiari, i soggetti che ne faranno richiesta dovranno fornire il proprio codice fiscale, quello degli appartenenti al nucleo familiare, il protocollo della Dichiarazione Sostitutiva Unica (DSU) e il valore numerico dell’indicatore ISEE, qualora i richiedenti si trovino al di sotto della soglia prevista.

Il decreto prevede infine che, prima dell’avvio del trattamento dati previsto per la gestione della Carta, sia effettuata una valutazione di impatto, con le misure di sicurezza tecniche e organizzative idonee a garantire un livello di sicurezza adeguato e siano individuati i tempi di conservazione dei dati.

 


 

L’ATTIVITÁ DEL GARANTE – PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall’Autorità

  • Gira un video e diventa “ambasciatore della privacy”. Il contest del Garante privacy dedicato alle scuole – Comunicato del 20 gennaio 2023

  • Sanità: liste di attesa, Garante privacy avvia istruttoria su algoritmo Regione Veneto – Comunicato del 18 gennaio 2023

  • Messina Denaro: eccessivo pubblicare referti e dettagli strettamente clinici – Comunicato del 18 gennaio 2023

  • TikTok: Butti e Garante privacy incontrano i rappresentanti italiani. Al centro della riunione la sicurezza e la riservatezza dei dati degli utenti italiani iscritti alla piattaforma – 17 gennaio 2023

  • Video figlia Eva Kaili: Garante privacy, grave lesione della riservatezza del minore – Comunicato del 9 gennaio 2023

 

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 – 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it

Iscrizione alla Newsletter – Cancellazione dal servizio – Informazioni sul trattamento dei dati personali

ARTICOLI RECENTI
Video