Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali

Scritto il 20 Aprile 2024

Parere favorevole del Garante Privacy ad Anac su 14 quattordici schemi standard di pubblicazione che dettano le regole che le Pa devono seguire per rispettare gli obblighi di trasparenza online.

Gli schemi, previsti dal decreto trasparenza (d. lgs. n. 33/2013) tengono conto delle diverse osservazioni formulate dall’Ufficio.

Per garantire la riservatezza degli interessati ed evitare il rischio di eventuali sanzioni per violazione della normativa privacy, le Pa dovranno limitarsi, fra l’altro, a pubblicare nella sezione“amministrazione trasparente” dei rispettivi siti web solo dati necessari, come ad es., il numero di telefono, l’indirizzo email e pec dell’ufficio - e non i dati del dipendente - cui il cittadino può rivolgersi per richieste all’amministrazione. E negli esiti dei concorsi pubblici dovranno pubblicare il nome, il cognome, (la data di nascita, in caso di omonimia) e la posizione in graduatoria dei vincitori e degli idonei dichiarati vincitori a seguito dello scorrimento della graduatoria. Inoltre, nella pubblicazione dei dati riguardanti i pagamenti, le Pa dovranno oscurare i dati identificativi dei destinatari di benefici economici inferiori a mille euro nell’anno solare e in ogni caso se dalla pubblicazione è possibile ricavare informazioni relative allo stato di salute o alla situazione di disagio economico-sociale.

Leggi tutto

Dossier sanitario: il Garante Privacy sanziona una Asl

Scritto il 20 Aprile 2024

Il Garante Privacy ha sanzionato per 75mila euro una Asl per non aver configurato correttamente le modalità di accesso al dossier sanitario elettronico (Dse). L’Autorità si è attivata a seguito di alcuni reclami e segnalazioni che lamentavano il trattamento illecito di dati personali effettuato tramite il sistema di archiviazione e refertazione delle prestazioni erogate dall’azienda sanitaria. In particolare, erano stati segnalati ripetuti accessi al Dse da parte di personale sanitario non coinvolto nel processo di cura dei pazienti.

In un caso, una professionista della Asl era infatti riuscita a visionare gli esami di laboratorio dell’ex marito a sua insaputa pur essendo quest’ultimo non in cura da lei.

Dalle verifiche effettuate dall’Autorità è emerso che il sistema di gestione del Dse consentiva agli operatori sanitari di inserire manualmente, mediante autocertificazione, la motivazione per cui si rendeva necessario l’accesso al dossier sanitario. L’accesso al documento era inoltre consentito, per impostazione predefinita, aduna ampia lista di figure professionali che niente avevano a che fare con il percorso di cura dei pazienti, compreso il personale amministrativo.

Leggi tutto

Attacco hacker ai sistemi informatici della Regione Lazio: sanzioni del Garante privacy

Scritto il 20 Aprile 2024

Con tre sanzioni di 271mila, 120mila e 10mila euro, irrogate rispettivamente a LAZIOcrea (società che gestisce i sistemi informativi regionali), alla Regione Lazio e alla ASL Roma 3, il Garante Privacy ha definito i procedimenti aperti dopo l’attacco informatico al sistema sanitario regionale avvenuto nella notte tra il 31 luglio e il 1° agosto del 2021. Il data breach - causato da un ransomware introdotto nel sistema attraverso un portatile in uso a un dipendente della Regione - ha bloccato l’accesso a molti servizi sanitari impedendo, tra l’altro, la gestione delle prenotazioni, i pagamenti, il ritiro dei referti, la registrazione delle vaccinazioni. Asl, aziende ospedaliere, case di cura non hanno potuto utilizzare alcuni sistemi informativi regionali, attraverso i quali sono trattati i dati sulla salute di milioni di assistiti, per un arco temporale che è andato da poche ore (48) ad alcuni mesi. [VEDI PROVVEDIMENTI doc. web n. 10002324, 10002533, 10002287]

Dagli accertamenti e dalle ispezioni effettuate dall’Autorità è emerso che LAZIOcrea e Regione Lazio, pur con differenti ruoli e livelli di responsabilità, sono incorse in numerose e gravi violazioni della normativa privacy, dovute in prevalenza all’adozione di sistemi non aggiornati e alla mancata adozione di misure di sicurezza adeguate a rilevare tempestivamente le violazioni di dati personali e a garantire la sicurezza delle reti informatiche.

Leggi tutto

Intercettazioni, Garante Privacy: via libera all’archivio digitale interdistrettuale

Scritto il 09 Aprile 2024

Parere favorevole del Garante Privacy sullo schema di decreto del Ministero della Giustizia che regola l’attivazione dell’archivio digitale delle intercettazioni (ADI) presso le infrastrutture interdistrettuali e definisce tempi, modalità e requisiti di sicurezza della migrazione e del conferimento dei dati. L’archivio – tenuto sotto la direzione e la sorveglianza del Procuratore della Repubblica - custodisce i verbali, gli atti e le registrazioni delle intercettazioni disposte dalle singole Procure.

Il Garante, tuttavia, ha chiesto al Ministero di esplicitare nel testo il ruolo di titolare del trattamento dei dati svolto dalle Procure della Repubblica, per fugare possibili dubbi interpretativi e agevolare l’esercizio dei diritti da parte degli interessati.

Con l’attuale atto ministeriale si completa il percorso che ha già visto l’istituzione delle infrastrutture digitali centralizzate per le intercettazioni e la definizione dei requisiti tecnici per la gestione dei dati presso tali sistemi, sui cui schemi il Garante si è espresso con parere favorevole rispettivamente nei mesi di settembre e di dicembre 2023.

Leggi tutto