Tag: Garante Privacy

Generale

Intelligenza artificiale, Garante privacy

Admin

Intelligenza artificiale: il Garante privacy scrive a Parlamento e Governo. Necessario individuare Autorità di vigilanza indipendenti e imparziali.

Il Garante per la protezione dei dati personali possiede i requisiti di competenza e indipendenza necessari per attuare il Regolamento europeo sull’intelligenza artificiale coerentemente con l’obiettivo di un livello elevato di tutela dei diritti fondamentali.

È quanto scrive il Presidente, Pasquale Stanzione, in una segnalazione inviata nei giorni scorsi ai Presidenti di Senato e Camera e al Presidente del Consiglio.

La recente approvazione dell’AI Act da parte del Parlamento europeo – spiega il Presidente dell’Autorità – “impone agli Stati membri alcune scelte essenziali sulle norme di adeguamento degli ordinamenti interni”.

L’incidenza dell’IA sui diritti suggerisce di attribuirne la competenza ad Autorità caratterizzate da requisiti d’indipendenza stringenti, come le Authority per la privacy, anche in ragione della stretta interrelazione tra intelligenza artificiale e protezione dati e della competenza già acquisita in materia di processo decisionale automatizzato.

L’AI Act – ricorda il Garante – si fonda sull’articolo 16 del Trattato sul funzionamento dell’Unione europea, che è la base giuridica della normativa di protezione dei dati, e lo stesso Regolamento sull’intelligenza artificiale prevede il controllo delle Autorità di protezione dei dati personali su processi algoritmici che utilizzino dati personali.

La sinergia tra le due discipline e la loro applicazione da parte di un’unica Autorità è quindi determinante per l’effettività dei diritti e delle garanzie sanciti – conclude Stanzione – suggerendo in proposito una riflessione a Parlamento e Governo.

Segnalazione al Parlamento e al Governo sull'Autorità per l'i. a.

Generale

Telemarketing, Garante privacy

Admin

Telemarketing, Garante privacy: al via il Codice di condotta. Accreditato l’Organismo di monitoraggio per la piena efficacia delle nuove regole.

Con l’accreditamento dell’Organismo di monitoraggio (OdM) si completa l’iter per la piena applicazione del Codice di condotta che regola le attività di teleselling e di telemarketing. Il Codice, che ha l’obiettivo di tutelare gli utenti dalle chiamate indesiderate, acquisterà piena efficacia dal giorno successivo alla sua pubblicazione nella Gazzetta Ufficiale[VEDI IL PROVVEDIMENTO DEL 7 MARZO 2024]

L’Autorità ha ritenuto che l’OdM – proposto da associazioni di committenti, call center, teleseller, list provider e associazioni di consumatori – sia in possesso dei requisisti previsti dal Regolamento Ue, tra i quali un adeguato livello di competenza, indipendenza e imparzialità per lo svolgimento dei compiti di controllo sull’applicazione del Codice da parte degli aderenti.

Le società che aderiranno al Codice, si impegneranno ad adottare misure specifiche per garantire la correttezza e la legittimità dei trattamenti di dati svolti lungo tutta la “filiera” del telemarketing.

Dovranno raccogliere consensi specifici per le singole finalità (marketing, profilazione, ecc.), informare in maniera precisa le persone contattate sull’uso dei loro dati, assicurando il pieno esercizio dei diritti previsti dalla normativa privacy (opposizione al trattamento, rettifica o aggiornamento dei dati). Le società inoltre saranno tenute ad effettuare una valutazione di impatto nel caso svolgano trattamenti automatizzati, compresa la profilazione, che comportano un’analisi sistematica e globale di informazioni personali.

Per contrastare il fenomeno del “sottobosco” dei call-center abusivi il Codice di condotta stabilisce l’applicazione di una penale o la mancata corresponsione della provvigione per ogni contratto stipulato a seguito di un contatto promozionale senza consenso.

Generale

Dossier sanitario, Garante privacy

Admin

Dossier sanitario, Garante privacy: accessibile solo per ragioni di cura
Sanzionata una Asl per 40mila euro

Sanzione di 40mila euro del Garante privacy ad una Asl per non aver configurato il dossier sanitario aziendale in modo tale da impedire al personale autorizzato di visionare lo stato di salute dei colleghi per finalità ulteriori rispetto a quelle di cura.

L’Autorità – intervenuta a seguito del reclamo di un’infermiera, che era al contempo paziente e dipendente della Asl – ha infatti accertato che le responsabili dell’organizzazione dei turni del reparto dove lavorava, durante il lockdown, avevano avuto liberamente accesso al dossier sanitario dei colleghi per verificare l’eventuale positività al Covid-19 e pianificare le presenze in ospedale.

Secondo la Asl la pratica si era resa necessaria per sapere su quali risorse umane poter contare, considerato che, nel periodo della pandemia, gran parte del personale era in malattia contagiato dal Covid.

Nel suo provvedimento il Garante ha messo innanzitutto in evidenza come l’accesso al dossier sanitario sia consentito solo ai medici e al personale che hanno in cura un paziente, e non per esigenze organizzative e amministrative anche nell’ipotesi in cui, come nel caso specifico, la Asl assuma sia la veste di datore di lavoro che di autorità sanitaria che ha in cura l’interessata. L’uso del dossier per organizzare i turni ospedalieri costituisce, peraltro, una modalità inefficace essendo tale strumento vincolato al consenso dell’interessato e risultando, per sua natura, incompleto tenuto conto del fatto che l’interessato può decidere di oscurare alcuni dati e documenti, compresi gli esiti dei test Covid.

Nel corso dell’istruttoria l’Autorità ha inoltre accertato che gli accessi erano stati possibili perché la configurazione del dossier sanitario aziendale non prevedeva limiti all’accesso, né sistemi di alert e di monitoraggio finalizzati a segnalare eventuali condotte illecite dei dipendenti.

Oltre ad irrogare la sanzione, il Garante ha ordinato all’azienda ospedaliera di adottare nuove procedure e misure organizzative per garantire la tutela dei dati dei pazienti e dei dipendenti: in particolare, l’adozione di alert automatici per il rilevamento di eventuali anomalie e di procedure che prevedano la registrazione automatica in appositi file di log di tutti gli accessi e le operazioni compiute, compresa anche la semplice consultazione del dossier.

Fonte https://www.gpdp.it/

Download

Intelligenza Artificiale servizi sanitari nazionali

Admin

Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale – settembre 2023. Garante Privacy

Le basi giuridiche del trattamento

Il trattamento di dati sulla salute da parte di soggetti che perseguono compiti di interesse pubblico deve necessariamente fondarsi sul diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (art. 9, par. 2, lett. g) del Regolamento; cfr. sul punto sentenza della Corte Costituzionale n. 20 del 2019).

Tale disposizione ha trovato attuazione nell’art. 2-sexies del Codice, in base al quale i trattamenti delle particolari categorie di dati tra cui rilevano quelli sulla salute sono ammessi solo qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

IA

L’elaborazione di dati sulla salute attraverso tecniche di IA richiama i concetti di profilazione e di decisioni sulla base di processi automatizzati con riferimento ai quali si rappresenta che, nell’ambito dei trattamenti svolti per motivi di interesse pubblico, l’uso di tali strumenti è consentito solo se espressamente previsto dal diritto degli Stati membri, nel rispetto di misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli interessati (considerando 71 e art. 22, par. 4, del Regolamento).

Pertanto, in base al combinato disposto delle disposizioni sopra richiamate, operata una preliminare valutazione in ordine alla necessità di tali trattamenti1, è necessario che gli stessi siano previsti da uno specifico quadro normativo avente le caratteristiche sopra richiamate.

A tale riguardo, si ricorda che in base all’art. 36, par. 4 del Regolamento, gli Stati membri consultano l’Autorità di controllo durante l’elaborazione di un atto legislativo o di misura regolamentare che prevede il trattamento di dati personali. Ciò, anche la fine di supportare gli stessi nella predisposizione di una base giuridica del trattamento chiara e precisa e prevedibile per le persone che vi sono sottoposte, in conformità alla giurisprudenza della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo (considerando 41 del Regolamento)

Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale – Garante Privacy.
download Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale – Garante Privacy.
Download

No al controllo a distanza dei lavoratori

Admin

Il Garante per la protezione dei dati personali, nella Newsletter del 26 luglio 2023, informa di aver sanzionato una azienda per aver installato un sistema di allarme la cui attivazione e disattivazione si basava sull’uso delle impronte digitali, un impianto di videosorveglianza e un applicativo per la geolocalizzazione di alcuni lavoratori. Controllo a distanza dei lavoratori

Il rispetto della procedura di garanzia prevista dallo Statuto dei lavoratori e dal Codice privacy costituisce un requisito essenziale per la correttezza dei trattamenti dei dati personali dei lavoratori in azienda.

Non sono bastate le motivazioni presentate da un’azienda per evitare una sanzione di 20mila euro dal Garante per la protezione dei dati personali per aver installato un sistema di allarme la cui attivazione e disattivazione si basava sull’uso delle impronte digitali, un impianto di videosorveglianza e un applicativo per la geolocalizzazione di alcuni lavoratori.

Le violazioni sono emerse dall’ispezione avviata dall’Autorità in collaborazione con il Nucleo speciale tutela privacy della Guardia di finanza, a seguito di una segnalazione.

In particolare, con riferimento al sistema di videosorveglianza, è stato accertato che lo stesso, oltre alle riprese delle immagini in diretta, era in grado di captare anche i suoni ed effettuare registrazioni; avevano accesso attraverso uno smartphone il legale rappresentante della società e la sua famiglia. L’applicativo permetteva all’utente di ammonire verbalmente gli interessati, attraverso le casse dell’impianto.

Dall’ispezione è emerso inoltre che l’azienda utilizzava un applicativo che, quand’era in uso, tracciava, tramite GPS, in modo continuativo, la posizione del dipendente nel corso della propria attività, nonché data e ora del rilevamento, determinando così un controllo del lavoratore non consentito.

Il trattamento dei dati effettuato attraverso il sistema di videosorveglianza e quello di localizzazione erano effettuati senza che i lavoratori avessero ricevuto un’adeguata informativa e fossero state attivate le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o, in alternativa, autorizzazione dell’Ispettorato del lavoro). Per quanto riguarda la videosorveglianza è stata rilevata anche l’assenza di cartelli informativi in loco.

Allo scopo di rinforzare ulteriormente le misure di sicurezza ai locali aziendali, la Società aveva installato anche un sistema di allarme la cui attivazione e disattivazione si basava sul trattamento dei dati biometrici (impronte digitali) di 21 soggetti, tra cui i dipendenti.

Al riguardo nel provvedimento è stato rilevato che il trattamento dei dati biometrici, di regola vietato in quanto dati rientranti nelle cc.dd. categorie particolari di dati (art. 9 GDPR), è consentito solo al ricorrere di una delle condizioni tassativamente previste dal paragrafo 2 dell’art. 9 GDPR e, per quanto riguarda i trattamenti effettuati nell’ambito del rapporto di lavoro, solo quando il trattamento sia necessario per assolvere gli obblighi ed esercitare i diritti del titolare del trattamento o dell’interessato e sia previsto da una disposizione normativa, circostanze non rinvenibili nel caso di specie.

Oltre al pagamento della sanzione, il Garante ha disposto il divieto del trattamento dei dati raccolti mediante il sistema di videosorveglianza e il monitoraggio continuo della posizione del lavoratore.

Generale

Newsletter Garante privacy giugno 2023

Admin

Newsletter del 28 giugno 2023 – Fidelity card: il Garante privacy sanziona il Gruppo Benetton – Garante: stop al web scraping per formare elenchi telefonici – Garante privacy: illecite le email pubblicitarie senza consenso – Garante privacy, no al diritto all’oblio per reati gravi. Newsletter Garante privacy giugno 2023.

Fidelity card: il Garante privacy sanziona il Gruppo Benetton
Multa di 240mila euro per illecito trattamento di dati personali

Il Garante privacy ha sanzionato per 240mila euro il Gruppo Benetton per aver trattato illecitamente i dati personali di un numero rilevante di clienti ed ex clienti. Assenza di adeguate misure di sicurezza e conservazione senza limiti temporali di dati personali ai fini di marketing e di profilazione, le violazioni più gravi. I dati dei clienti venivano raccolti attraverso l’iscrizione al servizio e-commerce, al programma fedeltà e alla newsletter promozionale.

A seguito dell’attività ispettiva dell’Autorità, svolta in collaborazione con il Nucleo speciale privacy della Guardia di Finanza L’Autorità ha rilevato che la società conservava i dati raccolti tramite le fidelity card – inclusi i prodotti acquistati dal 2015, i dettagli degli scontrini e i punti accumulati – anche degli ex clienti.

Garante: stop al web scraping per formare elenchi telefonici
Sanzionato un sito per 60 mila euro

Il Garante ha vietato al titolare del sito web “www.trovanumeri.com” la costituzione e diffusione on line di un elenco telefonico formato “rastrellando” i dati tramite web scraping (ricerca automatizzata nel web) e gli ha ingiunto il pagamento di una sanzione di 60 mila euro. L’attuale quadro normativo non consente infatti la creazione di elenchi telefonici generici che non siano estratti dal DBU, il data base unico che contiene i numeri telefonici e i dati identificativi dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile.

Garante privacy: illecite le email pubblicitarie senza consenso
Inserire un link per disiscriversi non rende l’invio lecito

Un link per disiscriversi nelle email promozionali inviate senza consenso non rende lecito l’invio.

Lo ha precisato il Garantenel comminare una sanzione di 10mila euro ad una società che aveva utilizzato questa modalità per le proprie campagne promozionali indirizzate a numerosi destinatari.

Garante, no al diritto all’oblio per reati gravi
Per articoli recenti prevale l’interesse pubblico a conoscere la notizia

No al diritto all’oblio per chi si è macchiato di reati gravi e la cui vicenda giudiziaria si sia da poco conclusa e sia ancora di interesse pubblico.  Con questa motivazione il Garante privacy ha ritenuto infondata la richiesta di deindicizzazione di alcuni articoli recenti presentata da un uomo condannato a due anni di reclusione per detenzione di materiale pubblicato da Al-Qaida che aveva scontato la sua pena

Garante privacy giugno 2023 Newsletter. Fidelity card: il Garante privacy sanziona il Gruppo Benetton - Garante: stop al web scraping.Scarica
Portaleconsulenti documenti da scaricare
Generale

Garante privacy: sistemi di videosorveglianza

Admin

Obbligo del previo accordo sindacale o della autorizzazione ITL Garante privacy: sistemi di videosorveglianza.

Il Garante per la protezione dei dati personali, nella newsletter n. 503 del 26 maggio 2023, ha, tra le altre cose, sottolineato che l’installazione di sistemi di videosorveglianza, in assenza di un accordo con i rappresentanti dei lavoratori o di una autorizzazione dell’Ispettorato del lavoro, vìola il Regolamento europeo, il Codice privacy e lo Statuto dei lavoratori.

50 mila euro di sanzione sono state comminate dal Garante privacy a un’azienda di abbigliamento per aver installato sistemi di videosorveglianza in violazione del Regolamento europeo, del Codice privacy e dello Statuto dei lavoratori.

L’indagine del Garante è partita a seguito della segnalazione di un sindacato che lamentava il trattamento illecito di dati personali attraverso sistemi di videosorveglianza in diversi punti vendita della società. Nel corso dell’istruttoria è emerso infatti che la società, presente in Italia con oltre 160 negozi, non aveva rispettato la normativa in materia di controllo a distanza, la quale prevede che l’installazione di impianti audiovisivi non possa avvenire in assenza di un accordo con i rappresentanti dei lavoratori o di una autorizzazione dell’Ispettorato del lavoro, procedure indispensabili anche per bilanciare la sproporzione esistente tra la posizione datoriale e quella di lavoratore.

La società aveva giustificato l’installazione delle apparecchiature con la necessità di difendersi da furti e di garantire la sicurezza dei dipendenti e del patrimonio aziendale, evitando accessi non autorizzati.

Gli accertamenti del Garante privacy hanno evidenziato che tutti i negozi erano dotati di almeno 3 videocamere, attive 24 ore al giorno 7 giorni su 7, nelle aree riservate ai lavoratori e ai fornitori. Nei punti vendita più grandi arrivavano fino a 27.

scarica file Garante privacy: sistemi di videosorveglianza

Testata giornalistica regolarmente iscritta presso il Tribunale di Salerno (Iscrizione n° 7259/17 del 21/12/2017) e iscritta al Registro degli Operatori di Comunicazione (iscrizione al ROC n° 30804)
Direttore editoriale: Secondo Martino - Direttore responsabile: Alessia Martino Direttore tecnico: Pellegrino Albanese
Privacy Policy