IL MIO DPO rivista di aggiornamento sugli adempimenti privacy
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
IL MIO DPO
rivista di aggiornamento
sugli adempimenti
privacy
a cura del team privacy Studio Legale
Stefanelli & StefanelliPubblicazione nr. 3/2021 Settembre 2021 Pubblicazione di Stefanelli & Stefanelli servizi legali s.r.l.s. Via Azzo Gardino 8/A - 40122 Bologna info@stefanelli-servizilegali.it Tutti i diritti di traduzione, di riproduzione, di adattamento, totale o parziale, con qualsiasi mezzo (compresi i microfilm e le copie fotostatiche) sono riservati. Ogni permesso deve essere dato per iscritto dall’editore.
novità dallo Studio Legale Stefanelli&Stefanelli
www.privacygdpr.it
Siamo online con il nostro nuovo sito interamente dedicato alla privacy e alle
sue specifiche applicazioni nei settori sanità, dispositivi medici e progetti di
nuove tecnologie.
Un portale che consente di conoscere e approfondire tutti i servizi specialistici
che offriamo alle aziende del settore sanitario.
Sul sito è presente un’intera area dedicata alle nostre checklist e ai percorsi
di autovalutazione, progettate e realizzate per supportare le organizzazioni
nell’analisi del livello di aderenza alle norme privacy e di rispetto dei requisiti di
sicurezza dei dati personali trattati.
Non può mancare una ricca area blog per accedere con semplicità a tutti i nostri
contenuti: articoli di approfondimento, il consolidato osservatorio europeo
della privacy, il nuovo osservatorio sulle sanzioni garanti europei oltre a ebook,
whitepaper, e video.
Visita il nostro sito
www.privacygdpr.itPREFAZIONE
La normativa in materia di trattamento dei dati personali si arricchisce ogni giorno dei
provvedimenti attuativi dei garanti nazionali, delle decisioni di natura sanzionatoria, delle
Linee guida dell’European Data Protection Board (EDPB), delle sentenze dei giudici nazionali
e della Corte di giustizia europea.
Il corretto trattamento dei dati personali passa dunque non solo attraverso la conoscenza
del Regolamento (UE) 2016/679 e del Codice Privacy, ma anche attraverso la conoscenza e
lo studio del ricchissimo e prezioso materiale prodotto ogni giorno dalle autorità competenti
e dai giudici su tutto il territorio nazionale e comunitario.
Lo Studio Legale Stefanelli&Stefanelli ha deciso quindi di selezionare e raccogliere i
contenuti di cui ritiene imprescindibile la conoscenza da parte dei Titolari e Responsabili del
trattamento, mettendoli a disposizione delle organizzazioni che hanno scelto di affidarci
il ruolo di DPO con un breve focus su ciascuna novità e un approfondimento redatto dai
nostri esperti della materia, allo scopo di fornire a coloro che devono gestire e organizzare
il trattamento dei dati personali una modalità di aggiornamento rapida ed efficace.
Studio Legale Stefanelli & StefanelliINDICE DEI CONTENUTI
Pag.
INDICE
CERTIFICAZIONI
Le FAQ messe a punto dal Garante e Accredia 7
COVID 19
Il Garante privacy “avverte” la Regione Sicilia. L’ordinanza del Presidente delle Regione viola le norme
sulla privacy dei lavoratori 8
Green pass: Garante privacy risponde a Regione Piemonte 9
Green pass e accesso degli utenti agli uffici pubblici: il Garante privacy chiede informazioni alla
Regione Siciliana 10
DATA RETENTION
Garante francese: 1.75 milioni di sanzione nei confronti di AG2R La Mondiale 11
DATA BREACH
Esempi di notifica di data breach: furto di dispositivo contenente dati personali 12
ANONIMIZZAZIONE
Fattori da considerare per ritenere anonimizzato un dato e principali tecniche di anonimizzazione 13
PRINCIPIO DI TRASPARENZA E DIRITTI DEGLI INTERESSATI
Cosa succede se non spieghi nell’informativa privacy il funzionamento dell’algoritmo? 14
SETTORI SPECIFICI: SANITÀ E RICERCA
Ordinanza ingiunzione nei confronti di Azienda sanitaria per comunicazione di dati ai MMG 15
I vantaggi del regime speciale privacy per la ricerca scientifica 16
Fse: i pazienti hanno diritto di scegliere quali dati oscurare 17
Attacco informatico ai dati particolari dei pazienti: ammonita una struttura sanitaria privata 18INDICE DEI CONTENUTI
Pag.
Ordinanza ingiunzione di € 35.000 nei confronti di Azienda sanitaria locale per l’erroneo
inserimento di dati particolari nella richiesta di preventivo per la fornitura di ausili sanitari 20
Ordinanza ingiunzione nei confronti di Azienda sanitaria per inserimento, nella documentazione
clinica di un paziente ricoverato e, successivamente deceduto, di referti di altri due pazienti. 21
Ordinanza ingiunzione ad Azienda sanitaria a seguito di erroneo inserimento in cartelle cliniche di
alcuni pazienti di dati riferiti ad altri pazienti 22
Ordinanza ingiunzione nei confronti di Azienda ospedaliero-universitaria a seguito di notifica di tre
diverse violazioni di dati personali 23
SETTORI SPECIFICI: LAVORO
Rider: Garante privacy, no a discriminazioni basate sugli algoritmi. Sanzione di 2,6 milioni di euro
a una piattaforma del gruppo Glovo 24
Italia: whistleblowing, sanzionato l’Aeroporto di Bologna per insufficienti tutele del segnalante 25
SETTORI SPECIFICI: MARKETING
Aggiornamento delle FAQ sui cookie 26
COOKIE: dal Garante privacy nuove Linee guida a tutela degli utenti 27GDPR e certificazione dei trattamenti di dati.
Le FAQ messe a punto dal Garante e Accredia
L’articolo 42 del Reg. UE 679/2016 prevede l’istituzione (incoraggiamento) di meccanismi
di certificazione per dimostrare la conformità al regolamento dei trattamenti effettuati dai titolari
e dai responsabili del trattamento; la certificazione permette di dimostrare la conformità di un
prodotto, di un servizio, di un processo ad uno standard tecnico.
Il Garante italiano insieme ad Accredia ha pubblicato le prime FAQ volte a fornire le prime
risposte agli operatori interessati a sottoporsi ad un processo di certificazione.
Qui il link alle faq ed al booklet predisposto dall’Autorità Garante
https://www.garanteprivacy.it/regolamentoue/certificazione-e-accreditamento
Garante Italiano - FAQ e Booklet predisposto dall’Autorità Garante
Vai alle FAQ
Garante Italiano - GDPR e certificazione dei trattamenti di dati. Le Faq con i primi chiarimenti
messe a punto da Garante privacy e Accredia
Leggi il comunicato Stampa
| RIVISTA IL MIO DPO | ANNO 3 NR 3 7Covid 19: Il Garante privacy “avverte” la Regione Sicilia.
L’ordinanza del Presidente delle Regione viola le norme sulla
privacy dei lavoratori
Con il provvedimento del 22 luglio 2021 il Garante ha avuto modo di ribadire che il medico
competente, nell’ambito della mansione di sorveglianza sanitaria che la legge gli attribuisce in via
esclusiva, è l’unico soggetto deputato a trattare i dati particolari dei lavoratori relativi allo stato di
salute ed a valutarne l’idoneità o meno alla mansione svolta nel rispetto della normativa in materia
di sicurezza sui luoghi di lavoro.
Anche il trattamento dei dati relativi allo stato di vaccinazione dei dipendenti può essere effettuato
solo dal medico competente, nei limiti ed alle condizioni del D.Lgs. 81/2008
Garante Italiano - Provvedimento del 22 luglio 2021 - Avvertimento Regione Siciliana [Doc-Web
9683814]
Vai al sito del Garante per scaricare il provvedimento
| RIVISTA IL MIO DPO | ANNO 3 NR 3 8Green pass: Garante privacy risponde a Regione Piemonte
In tema di verifica del Green Pass il Garante già lo scorso agosto ha avuto modo di chiarire, in
risposta ad un quesito della Regione Piemonte, che le modalità ed i soggetti delegati al controllo
sono quelli indicati all’art. 13 del DPCM 17/6/2021, che vieta la registrazione e la conservazione
dei dati dei soggetti sottoposti a verifica della certificazione.
Entro questo preciso limite è però possibile richiedere e verificare i documenti di identità dei
soggetti controllati.
Garante Italiano - Risposta a un quesito sull’identificazione degli intestatari del Green Pass [Doc-
Web 9688875]
Vai al sito del Garante per scaricare la nota inviata alla Regione
| RIVISTA IL MIO DPO | ANNO 3 NR 3 9Green pass e accesso degli utenti agli uffici pubblici: il
Garante privacy chiede informazioni alla Regione Siciliana
Con l’ordinanza Presidenziale n. 84 del 13 agosto 2021 la Regione Sicilia aveva previsto
l’obbligo per gli utenti di esibire il green pass per accedere agli uffici pubblici ed usufruire dei
servizi.
Il Garante ha precisato che le misure di sanità pubblica che implicano il trattamento di dati
personali sono assoggettate a riserva di legge e come tali possono essere introdotte solo da
norme di rango primario (non regionali).
Garante Italiano - Green pass e accesso degli utenti agli uffici pubblici: il Garante privacy chiede
informazioni alla Regione Siciliana
Leggi il comunicato Stampa
| RIVISTA IL MIO DPO | ANNO 3 NR 3 10Garante francese: 1.75 milioni di sanzione nei confronti di
AG2R La Mondiale
Il tema della cancellazione e dei tempi di conservazione dei dati è sempre controverso all’interno
delle aziende. Si oscilla dalla volontà di adeguarsi alla normativa ad una sorta di timore delle
conseguenza negative derivanti dalla cancellazione di un documento o di data base.
Il problema non è solo italiano, come ha avuto modo di constatare l’Autorità Garante Francese
(Commission Nationale de l’Informatique et des Libertés – CNIL) in un importante provvedimento,
fosse solo per l’ingente sanzione applicata.
In particolare, tra i punti censurati proprio la politica aziendale interna sulla durata della
conservazione dei dati che nonostante la previsione “sulla carta” di tre anni per i dati dei clienti,
è risultata essere disattesa nella pratica, quantomeno in molte aree aziendali, con tempistiche ben
superiori, a volte addirittura oltre i cinque anni dall’ultimo contatto con il cliente.
La CNIL ha riscontrato, quindi, che la compagnia aveva violato l’articolo 5(1)(e) GDPR e
diverse disposizioni nazionali del Codice delle Assicurazioni. Per quanto riguarda il limite di 3
anni di conservazione dei dati dei potenziali clienti, la CNIL ribadisce che le sue linee guida sulla
protezione dei dati da parte degli organismi di assicurazione, capitalizzazione, riassicurazione
e assistenza, pur non essendo obbligatorie e risalenti al 2013, prevedono ancora un’adeguata e
proporzionata durata di conservazione per questa categoria di dati.
Dopo le ispezioni presso il titolare, l’azienda ha adottato misure correttive tenute in considerazione
dalla CNIL nella quantificazione della sanzione, che risulta comunque considerevole: 1,75 milioni
di euro.
E.D.P.B. European Data Protection Board - French DPA: 1.75 million penalty against AG2R LA
MONDIALE
Vai al sito dell’EDPB per leggere la notizia completa
| RIVISTA IL MIO DPO | ANNO 3 NR 3 11Esempi di notifica di data breach: furto di dispositivo
contenente dati personali
Quando avviene una violazione di dati personali, occorre innanzitutto valutare i rischi per i diritti
e le libertà degli interessati ad essa coinvolti.
Come avviene spesso nella pratica, questa valutazione non è sempre agevole.
Con l’obiettivo di assistete i Titolari del trattamento a svolgere le valutazioni del caso in modo
corretto, l’European Data Protection Board ha pubblicato allora le Linee guida 01/2021 sugli
esempi di notifica del data breach.
Abbiamo quindi deciso di pubblicare una serie di articoli per fornire degli esempi di notifica del
data breach: ecco qui il quarto, relativo al furto di un notebook aziendale.
“Esempi di notifica di data breach: furto di dispositivo contenente dati personali”
a cura della Dott.ssa Federica Pucarelli
Non perdere i prossimi articoli sul tema, che saranno pubblicati sul nuovo sito www.privacygdpr.it
| RIVISTA IL MIO DPO | ANNO 3 NR 3 12Anonimizzazione dei dati personali:
approfondimenti sul tema
Prosegue la pubblicazione di articoli di approfondimento sul tema dell’anonimizzazione.
Vi presentiamo due nuovi approfondimenti:
Fattori da considerare per ritenere anonimizzato un set di dati personali
Per anonimizzare un set di dati personali, questi devono essere privati di un numero di descrittori
sufficiente ad impedire di risalire alle persone a cui si riferivano, nonostante il ricorso a mezzi
come l’individuazione, il collegamento di dati e l’inferenza.
È sufficiente quindi decidere quali e quanti descrittori devono essere eliminati per ottenere un
insieme di dati anonimizzati?
La sfida non si risolve così facilmente. È fondamentale, infatti, tener conto del contesto
“Fattori da considerare per ritenere anonimizzato un set di dati personali”
a cura dell’Avv. Maddalena Collini
Le principali tecniche di anonimizzazione
Le norme in tema di trattamento dei dati personali non prescrivono l’utilizzo di strumenti e
tecniche specifici per ottenere un solido processo di anonimizzazione.
Per riuscire ad orientarsi tra le varie tecniche di anonimizzazione esistenti è quindi necessario
affidarsi alle Linee guida, ai Codici di condotta e ai pareri delle Autorità garanti europee ed
extraeuropee.
Sono questi i testi che dedicano uno spazio importante alla descrizione del mascheramento,
della randomizzazione, della generalizzazione e dell’anonimizzazione stratificata o ri-
anonimizzazione.
“Le principali tecniche di anonimizzazione”
a cura dell’Avv. Maddalena Collini
Non perdere i prossimi articoli sul tema, che saranno pubblicati sul nuovo sito www.privacygdpr.it
| RIVISTA IL MIO DPO | ANNO 3 NR 3 13Cosa succede se non spieghi nell’informativa privacy il
funzionamento dell’algoritmo?
Una Onlus si è vista negare la possibilità di realizzare una piattaforma web preordinata
all’elaborazione di profili reputazionali concernenti persone fisiche e giuridiche poiché, nonostante
i dati personali venissero trattati solo previo consenso, nell’informativa non erano contenute
informazioni sufficienti sulla logica utilizzata dall’algoritmo e sulle conseguenze previste dal
trattamento.
Per approfondimenti si rimanda all’articolo
“Cosa succede se non spieghi nell’informativa privacy il funzionamento dell’algoritmo?”
a cura dell’Avv. Maria Livia Rizzo e della Dott.ssa Federica Pucarelli
| RIVISTA IL MIO DPO | ANNO 3 NR 3 14Ordinanza ingiunzione nei confronti di Azienda sanitaria per
comunicazione di dati ai MMG
Il Garante per la Protezione dei Dati Personali ha comminato una sanzione di 150.000 euro
all’Azienda Provinciale per i Servizi Sanitari di Trento per avere effettuato, mediante l’integrazione
dei Sistemi SIO, di quello di pubblicazione dei referti e del sistema Ampere, la comunicazione
di 293 documenti di sintesi (anche relativi a casi di interruzione della gravidanza) relativi a 175
interessati ai relativi medici di medicina generale priva di idoneo presupposto giuridico e in
contrasto con l’esplicita richiesta di oscuramento avanzata dagli interessati, in violazione dell’art.
75 del Codice, dell’art. 9 del Regolamento e dei principi di liceità, integrità e riservatezza del
trattamento (art. 5 del Regolamento).
Garante Italiano - Ordinanza ingiunzione nei confronti di Azienda provinciale per i servizi sanitari
di Trento - 27 maggio 2021 [Doc Web 9682641]
Vai al sito del Garante per scaricare l’Ordinanza
| RIVISTA IL MIO DPO | ANNO 3 NR 3 15I vantaggi del regime speciale privacy per la ricerca
scientifica
La ricerca scientifica conforme alle disposizioni metodologiche ed etiche di settore occupa
una posizione privilegiata all’interno del Regolamento, al punto da renderla un settore in cui gli
obblighi del titolare del trattamento possono essere in alcuni casi derogati.
Ovviamente non si tratta di una deresponsabilizzazione di coloro che svolgono attività di ricerca,
ma di una attuazione più flessibile del GDPR i cui principi fondamentali devono essere osservati
nello svolgimento di ogni tipologia di progetto di ricerca.
Per approfondimenti si rimanda all’articolo
“I vantaggi del regime speciale privacy per la ricerca scientifica”
a cura dell’Avv. Maria Livia Rizzo
| RIVISTA IL MIO DPO | ANNO 3 NR 3 16Fse: i pazienti hanno diritto di scegliere quali dati oscurare
Il Garante Privacy è recentemente tornato sul Fascicolo Sanitario Elettronico, sanzionando due
Aziende Sanitarie che non avevano garantito ai pazienti il diritto di oscurare alcuni dati che li
riguardavano.
Questo diritto prevede che il paziente possa decidere, nel momento in cui sono generati i referti
o successivamente, che il documento sia visibile solo a se stesso e al medico che lo ha generato.
Per approfondimenti si rimanda all’articolo
“Italia: il paziente ha il diritto di scegliere i dati da oscurare nel FSE”
a cura dell’Avv. Maria Livia Rizzo
| RIVISTA IL MIO DPO | ANNO 3 NR 3 17Attacco informatico ai dati particolari dei pazienti: ammonita
una struttura sanitaria privata
Non sempre data breach equivale a sanzione del Garante, per fortuna, vediamo un caso
valutato come “violazione minore”.
Una struttura sanitaria privata ha notificato un data breach risultante in un “attacco cibernetico
ransomware criptolocker, su servizio applicativo mail”, mediante la ricezione e la successiva
apertura di “una email contenente il malware” su una casella di posta elettronica di dominio
aziendale.
La violazione ha determinato la perdita di disponibilità, non riservatezza, di circa 29 pazienti
della clinica. Nello specifico, i dati violati riguardano l’anamnesi del paziente, l’anamnesi familiare,
l’anamnesi fisiologica, parte del diario clinico, la scheda di rilevazione dei parametri vitali, parte
del diario infermieristico e la “scheda unica terapia”.
Il Garante, quindi, apre un’istruttoria, a seguito della quale, pur confermando l’illiceità del
trattamento di dati personali per l’assenza delle misure tecniche idonee ad assicurare la disponibilità
del dato ha valutato positivamente altri aspetti della vicenda, qualificando il fatto come una
“violazione minore”.
In particolare:
• l’episodio è risultato stato isolato e determinato da un evento doloso esterno;
• la Società è intervenuta prontamente per attenuare gli effetti della violazione occorsa nonché
per prevenire il ripetersi di eventi analoghi;
• le conseguenze dell’attacco subito sono imputabili alla colpa del titolare che non disponeva
di misure idonee a garantire la disponibilità di tutti i dati, ma la colpa è da considerarsi lieve
tenuto conto che tale mancanza riguardava solo una circoscritta categoria di dati personali;
• la violazione, seppur relativa a dati sulla salute, ha riguardato un numero non elevato di
interessati;
• il titolare ha notificato la violazione dei dati personali, senza ritardo e si è dimostrato
collaborativo durante tutta la fase istruttoria e procedimentale.
| RIVISTA IL MIO DPO | ANNO 3 NR 3 18Questo provvedimento ci ribadisce che nella gestione dei data breach è fondamentale:
1. implementare un sistema di difesa del perimetro informatico, anche un efficace sistema per
intercettare gli attacchi;
2. prevedere un’azione immediata per limitare le conseguenze negative di un attacco;
3. adottare prontamente misure correttive, ma anche preventive, qualora l’incidente si verifichi
nuovamente.
Garante Italiano - Provvedimento Provvedimento del 22 luglio 2021 [9693442]
Vai al sito del Garante per scaricare il provvedimento
| RIVISTA IL MIO DPO | ANNO 3 NR 3 19Ordinanza ingiunzione di € 35.000 nei confronti di Azienda
sanitaria locale per l’erroneo inserimento di dati particolari
nella richiesta di preventivo per la fornitura di ausili sanitari
L’Azienda sanitaria locale di Bari ha trasmesso a una società una comunicazione volta ad
acquisire un preventivo-offerta della stessa società per la fornitura di diverse tipologie di ausili.
La nota con la quale veniva effettuata la comunicazione conteneva i dati personali (nome,
cognome, Comune) di circa 60 pazienti ai quali erano destinati i presidi sanitari oltre che, in taluni
casi, del medico prescrittore.
Per la violazione degli art. 5, par. 1, lett. f) e 9 del Regolamento l’ASL di Bari è stata sanzionata
dal Garante per la Protezione dei Dati Personali per 35.000 euro.
Garante Italiano - Ordinanza ingiunzione nei confronti di Azienda sanitaria locale di Bari - 22
luglio 2021 [9693760]
Vai al sito del Garante per leggere l’ordinanza
| RIVISTA IL MIO DPO | ANNO 3 NR 3 20Ordinanza ingiunzione nei confronti di Azienda sanitaria
per inserimento, nella documentazione clinica di un paziente
ricoverato e, successivamente deceduto, di referti di altri due
pazienti.
Il Garante Privacy ha sanzionato l’Azienda sanitaria locale di Chieri, Carmagnola, Moncalieri
e Nichelino (ASLTO5) in relazione all’avvenuto inserimento, nella documentazione clinica di
un paziente ricoverato presso la Struttura Complessa Medicina Interna P.O. Carmagnola e,
successivamente deceduto, di referti di altri due pazienti contenenti, rispettivamente, una consulenza
oncologica e una ecografia all’addome.
La documentazione era stata consegnata alla figlia del paziente ricoverato e successivamente
deceduto. La sanzione comminata all’ASL TO5 ammonta a 4.000 euro.
Garante Italiano - Ordinanza ingiunzione nei confronti di Azienda sanitaria di Chieri, Carmagnola,
Moncalieri e Nichelino (Asl To5) - 22 luglio 2021 [9695041]
Vai al sito del Garante per leggere l’ordinanza
| RIVISTA IL MIO DPO | ANNO 3 NR 3 21Ordinanza ingiunzione ad Azienda sanitaria a seguito di
erroneo inserimento in cartelle cliniche di alcuni pazienti di
dati riferiti ad altri pazienti
A causa di un bug che considerava solo il numero di episodio trascurando il codice paziente,
il processo di stampa della cartella clinica per la successiva consegna al paziente (attraverso
lo strumento della “carta della salute” o la spedizione a casa) ha presentato al genitore di un
paziente (minore) dell’Ospedale Pediatrico Bambino Gesù (OPBG) di Roma anche la cartella di
pronto soccorso di un altro paziente.
Il bug non è stato riscontrato poiché la visualizzazione della cartella da repository era corretta
e la stampa viene prodotta da un tool automatico. La violazione ha riguardato complessivamente
19 cartelle delle quali 17 inviate al paziente mezzo posta e 2 consultate attraverso la “carta della
salute”.
Il Garante Privacy ha ordinato all’OPBG di pagare la somma di euro 15.000 a titolo di sanzione
amministrativa pecuniaria.
Garante Italiano - Ordinanza ingiunzione nei confronti di Ospedale Pediatrico Bambino Gesù -
24 giugno 2021 [9689566]
Vai al sito del Garante per leggere l’ordinanza
| RIVISTA IL MIO DPO | ANNO 3 NR 3 22Ordinanza ingiunzione nei confronti di Azienda ospedaliero-
universitaria a seguito di notifica di tre diverse violazioni di
dati personali
L’Azienda ospedaliero-universitaria Senese è stata sanzionata per 25.000 euro dal Garante
Privacy per:
• l’invio, per errore materiale, ai genitori di un minore, che hanno segnalato la vicenda,
unitamente alla cartella clinica dello stesso minore, di un referto sanitario – contenente anche
dati genetici – relativo a soggetti terzi (un paziente minore e i suoi genitori) aventi lo stesso
cognome dell’interessato;
• l’erroneo inserimento, all’interno di un plico, contenente il CD relativo a un esame diagnostico
effettuato da una paziente, di un referto riferito ad altro soggetto;
• la consegna, su richiesta dell’interessato, della copia cartacea della cartella clinica di
ricovero alla quale veniva allegata, per errore materiale di composizione del documento
cartaceo, anche la documentazione sanitaria di un altro paziente ricoverato nello stesso
reparto.
Garante Italiano - Ordinanza ingiunzione nei confronti di Azienda ospedaliero-universitaria
Senese - 8 luglio 2021 [9691011]
Vai al sito del Garante per leggere l’ordinanza
| RIVISTA IL MIO DPO | ANNO 3 NR 3 23Rider: Garante privacy, no a discriminazioni basate sugli
algoritmi. Sanzione di 2,6 milioni di euro a una piattaforma
del gruppo Glovo
Con il comunicato stampa del 5 luglio il Garante per la protezione dei dati personali ha reso
noto di aver sanzionato la società Foodinho, del gruppo GlovoApp23, per 2,6 milioni a causa di
numerose trasgressioni in materia privacy.
A seguito di una complessa istruttoria, l’Autorità ha riscontrato una serie di gravi illeciti compiuti
dalla società, specialmente con riferimento all’utilizzo degli algoritmi di gestione dei lavoratori.
In particolare, si è rilevato che Foodinho non aveva adeguatamente informato i lavoratori sul
funzionamento del sistema, non assicurava garanzie sull’esattezza e la correttezza dei risultati
dei sistemi algoritmici utilizzati per la valutazione dei rider e non garantiva procedure per tutelare
il diritto di ottenere l’intervento umano, nemmeno per contestare le decisioni adottate mediante
l’utilizzo degli algoritmi.
Pertanto, il Garante ha prescritto a Foodinho di procedere con la modifica del trattamento dei
dati dei propri lavoratori effettuato tramite l’utilizzo della piattaforma digitale e di assicurarsi che
gli algoritmi di prenotazione e assegnazione degli ordini non producano forme di discriminazione.
Garante Italiano -Ordinanza ingiunzione nei confronti di Foodinho s.r.l. - 10 giugno 2021
[9675440]
Vai al sito del Garante per leggere l’ordinanza
| RIVISTA IL MIO DPO | ANNO 3 NR 3 24Italia: whistleblowing, sanzionato l’Aeroporto di Bologna per
insufficienti tutele del segnalante
I dati personali e le informazioni trasmesse dallo whistleblower sono oggetto di particolari tutele
e sono coperti da riservatezza.
L’aeroporto di Bologna è stato sanzionato perché la piattaforma, quindi lo strumento tecnico,
utilizzata per l’invio delle segnalazioni non garantiva il rispetto dei principi del GDPR ed idonei
standard di sicurezza dal punto di vista della riservatezza delle informazioni e dei segnalanti.
Il Garante ha ribadito che il titolare del trattamento, anche quando utilizza prodotti o servizi
realizzati da terzi, deve verificare la conformità ai principi di protezione dati impartendo le
necessarie istruzioni al fornitore del servizio, responsabile del trattamento, che nel caso specifico
è stato a sua volta sanzionato.
Garante Italiano - Ordinanza ingiunzione nei confronti di Aeroporto Guglielmo Marconi di
Bologna S.p.a. - 10 giugno 2021 [9685922]
Vai al sito del Garante per leggere l’ordinanza
| RIVISTA IL MIO DPO | ANNO 3 NR 3 25Aggiornamento delle FAQ sui cookie
A seguito dell’approvazione delle nuove Linee Guida sui cookie, il Garante utilizza nuovamente
lo strumento delle FAQ per coadiuvare i titolari nel corretto adempimento della normativa.
Ecco, quindi, le FAQ in tema di cookie ora aggiornate, un utile ausilio per comprendere le
attività da intraprendere.
Garante Italiano - FAQ cookie
Vai al sito del Garante per leggere le FAQ
| RIVISTA IL MIO DPO | ANNO 3 NR 3 26COOKIE: dal Garante privacy nuove Linee guida a tutela
degli utenti
Le Linee Guida sui Cookie hanno l’obiettivo di riportare un po’ di chiarezza sulle pratiche corrette
in materia di cookie, dopo che i contenuti del Provvedimento generale del 2014, non esattamente
stravolti ma comunque divenuti in qualche modo obsoleti, stavano vivendo un periodo di “caos”
interpretativo, complici l’entrata in vigore del GDPR nel 2018 e la diffusione delle Linee guida
dell’EDPB sul consenso nel 2020.
Tra i principali temi affrontati il delicato tema di quando riproporre il banner all’utente,
in particolare:
1. se c’è qualcosa di nuovo da mostrare all’utente – perché il banner serve anche a informare
su significative modifiche ai trattamenti di dati;
2. se non sono in grado di riconoscere l’utente – ad esempio, perché quest’ultimo ha cancellato
la cronologia dal suo dispositivo;
3. se si sono sinceramente dimenticati delle scelte fatte dall’utente – perché, in linea col principio
di limitazione della conservazione, la memoria delle informazioni non dev’essere mai a
tempo indeterminato.
Altro tema delicato: quanto tempo devo mantenere registrata l’informazione sulla scelta fatta
dall’utente? Dopo quanto tempo, posso ripresentare il banner?
La risposta del Garante: 6 mesi dalla precedente presentazione del banner.
Attenzione, perché 6 mesi è anche il periodo di tempo che l’Autorità ci ha concesso adeguarci.
Dal 9 gennaio 2022, quindi, potremmo iniziare a vedere qualche controllo in più, e il
rischio di sanzione legato a una cattiva gestione dei cookie diventare molto realistico.
L’occasione, quindi è perfetta, per revisionare i propri siti web.
Garante Italiano - Linee guida cookie e altri strumenti di tracciamento - 10 giugno 2021 [9677876]
Vai al sito del Garante per scaricare le Linee Guida
| RIVISTA IL MIO DPO | ANNO 3 NR 3 27il valore del network
la forza dell’esperienza
LO STUDIO
AVV. ANDREA STEFANELLI
AVV. SILVIA STEFANELLI
AVV. FABIO CARUSO
AVV. GASPARE CASTELLI
AVV. ADRIANO COLOMBAN
AVV. MADDALENA COLLINI
AVV. ALESSIA DIOLI
AVV. ELEONORA LENZI
AVV. SILVIA PARI
AVV. ELEONORA PETTAZZONI
AVV. MARIA LIVIA RIZZO
AVV. GIORGIA VERLATO
DOTT. SSA CAMILLA ANDERLINI
DOTT.SSA NOEMI CONDITI
DOTT. SSA ILARIA NANNI
DOTT.SSA FEDERICA PUCARELLI
AVV. LAURA ASTI of counsel
AVV. FEDERICO BRESCHI of counsel
AVV. ALESSANDRA DELLI PONTI of counsel
AVV. ANDREA MARINELLI of counsel
PROF. AVV. ALESSANDRA MAGLIARO of counsel
LE AREE DI SPECIALIZZAZIONE
APPALTI
SANITÀ
IMPRESE
DISPOSITIVI MEDICI
PRIVACY
NUOVE TECNOLOGIE
LAVORO
COMPLIANCE D.LGS. 231/2001
PENALE COMMERCIALE
TRIBUTARIO
COMMERCIALE INTERNAZIONALE
BOLOGNA - MILANO - ROMA - VENEZIAPuoi anche leggere
