Privacy: Pa e servizi assicurativi, attenzione agli errori nei bandi di gara

Scritto il 09 Novembre 2019

E’ scorretto obbligare l’assicurazione vincitrice ad assumere l’incarico di responsabile del trattamento.

Le pubbliche amministrazioni non devono inserire nei bandi di gara per i servizi assicurativi, l’obbligo per le compagnie aggiudicatarie di assumere l’incarico di responsabile del trattamento dei dati.

L’assicurazione, infatti, ai sensi del Regolamento europeo sulla protezione dei dati e della normativa di settore, mantiene la sua autonomia decisionale, in qualità di titolare del trattamento.

Lo ha chiarito il Garante per la privacy nel parere fornito a una società assicuratrice (/garante/doc.jsp?ID=9169688) che si lamentava di non poter partecipare a gare per l’affidamento dei servizi assicurativi a causa di alcune clausole in merito al trattamento dei dati, a suo avviso errate, imposte dagli enti aggiudicanti. Alcuni enti pubblici, nonché alcune società controllate o partecipate, nel predisporre i capitolati, avevano infatti previsto l’obbligo contrattuale per le compagnie che offrivano servizi assicurativi (come polizze sugli infortuni o sulla responsabilità civile di terzi) di riconoscere la titolarità della Pa per le decisioni in merito al trattamento dei dati personali.

Leggi tutto

Sanità, no del Garante all’uso illecito dei dati degli accertamenti medici

Scritto il 04 Ottobre 2019

Le società che forniscono apparecchiature per l’alta diagnostica non possono utilizzare per i propri scopi i dati dei pazienti sottoposti agli accertamenti medici. Le aziende sanitarie da parte loro possono comunicare i dati sanitari a terzi solo in presenza di un adeguato presupposto normativo. E’ quanto spiega l’Ufficio del Garante privacy in una nota a conclusione di un’istruttoria nell’ambito della quale sono emersi illeciti trattamenti di dati effettuati da un’azienda sanitaria e dalla società alla quale lo stesso ente, in due occasioni, aveva messo a disposizione copie di immagini della Tac, contenenti informazioni sulla salute di alcuni pazienti. La società una volta ricevute le immagini, attraverso un software, aveva anche effettuato un’operazione di estrazione, anonimizzazione e pseudonimizzazione di dati. Copia delle immagini rielaborate era stata poi allegata alla documentazione necessaria per partecipare a una gara d’appalto e in seguito depositata nell’ambito di un contenzioso giudiziario. Poiché i fatti risalgono al periodo antecedente la piena applicazione del Regolamento europeo (Gdpr), i trattamenti sono stati valutati alla luce del Codice privacy allora vigente.

Leggi tutto

Diritto all’oblio anche per chi si riabilita

Scritto il 04 Ottobre 2019

La permanenza in rete di notizie di cronaca giudiziaria non aggiornate può rappresentare un ostacolo al reinserimento sociale di una persona. Il diritto all’oblio va riconosciuto anche a chi è stato riabilitato dopo una condanna. Il principio è stato affermato dal Garante privacy, (/garante/doc.jsp?ID=9136842) che ha ordinato a Google la rimozione di due Url che rimandavano ad informazioni giudiziarie non più rappresentative della attuale situazione di un imprenditore. L’interessato, dopo aver tentato di far deindicizzare le pagine direttamente a Google, si era rivolto all’Autorità lamentando il pregiudizio derivante alla propria reputazione personale e professionale dalla permanenza in rete di informazioni obsolete e non aggiornate. Per questo motivo aveva chiesto al Garante di ordinare a Google la rimozione dai risultati di ricerca di due Url, reperibili digitando il proprio nominativo, che contenevano informazioni su una vicenda giudiziaria che lo aveva visto coinvolto nel 2007 e sulla sentenza di condanna pronunciata nei suoi confronti nel 2010. Nelle pagine web però non vi era alcuna traccia della successiva riabilitazione che l’uomo aveva chiesto e ottenuto nel 2013.

Leggi tutto

Privacy: al via l'indagine conoscitiva internazionale sulla gestione dei data breach

Scritto il 04 Ottobre 2019

Parte oggi il "Privacy Sweep 2019", un’indagine a carattere internazionale dedicata quest’anno alla gestione dei data breach da parte di soggetti pubblici e privati. Le Autorità di protezione dati che svolgeranno l’indagine prenderanno in esame i processi e le procedure adottati per la gestione delle violazioni dei dati personali dai titolari dei trattamenti che operano sui rispettivi territori nazionali. L'iniziativa è coordinata dalla Global Privacy Enforcement Network (GPEN), la rete internazionale nata per rafforzare la cooperazione tra le Autorità della privacy di diversi Paesi, di cui il Garante italiano fa parte. Allo Sweep 2019 partecipano, oltre a quella italiana, altre 17 Autorità garanti della privacy di vari Paesi del mondo.

Leggi tutto