Archivio

Sanità

14 Mag 2020

L’autorità Garante Privacy interviene con delle indicazioni per un corretto trattamento dei dati personali da parte di pubbliche amministrazioni e imprese private, che chiariscono i presupposti per l’effettuazione dei test sierologici per il Covid-19 sul posto di lavoro.

Nell’ambito del sistema di prevenzione e sicurezza sui luoghi di lavoro o di protocolli di sicurezza anti-contagio, il datore di lavoro può richiedere ai propri dipendenti di effettuare test sierologici solo se disposto dal medico competente o da altro professionista sanitario in base alle norme relative all’emergenza epidemiologica. Solo il medico del lavoro infatti, nell’ambito della sorveglianza sanitaria, può stabilire la necessità di particolari esami clinici e biologici. E sempre il medico competente può suggerire l’adozione di mezzi diagnostici, quando li ritenga utili al fine del contenimento della diffusione del virus, nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche riguardo alla loro affidabilità e appropriatezza.

Le visite e gli accertamenti, anche ai fini della valutazione della riammissione al lavoro del dipendente, devono essere posti in essere dal medico competente o da altro personale sanitario, e, comunque, nel rispetto delle disposizioni generali che vietano al datore di lavoro di effettuare direttamente esami diagnostici sui dipendenti.

Infine, il Garante ha chiarito che la partecipazione agli screening sierologici promossi dai Dipartimenti di prevenzione regionali nei confronti di particolari categorie di lavoratori a rischio di contagio, come operatori sanitari e forze dell’ordine, può avvenire solo su base volontaria. I risultati possono essere utilizzati dalla struttura sanitaria che ha effettuato il test per finalità di diagnosi e cura dell’interessato e per disporre le misure di contenimento epidemiologico previste dalla normativa d’urgenza in vigore (es. isolamento domiciliare).

Nel dettaglio la risposta al quesito.

Il datore di lavoro può richiedere l’effettuazione di test sierologici ai propri dipendenti?

Si, ma solo se disposta dal medico competente e, in ogni caso, nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche in merito all’affidabilità e all’appropriatezza di tali test.

Solo il medico competente, infatti, in quanto professionista sanitario, tenuto conto del rischio generico derivante dal Covid-19 e delle specifiche condizioni di salute dei lavoratori sottoposti a sorveglianza sanitaria, può stabilire la necessità di particolari esami clinici e biologici  e suggerire l’adozione di mezzi diagnostici, qualora ritenuti utili al fine del contenimento della diffusione del virus e della salute dei lavoratori (cfr. par. 12 del Protocollo condiviso tra il Governo e le Parti sociali aggiornato il 24 aprile 2020).

Resta fermo che le informazioni relative alla diagnosi o all’anamnesi familiare del lavoratore non possono essere trattate dal datore di lavoro (ad esempio, mediante la consultazione dei referti o degli esiti degli esami), salvi i casi espressamente previsti dalla legge. Il datore di lavoro può, invece, trattare i dati relativi al giudizio di idoneità alla mansione specifica e alle eventuali prescrizioni o limitazioni che il medico competente può stabilire come condizioni di lavoro.

Le visite e gli accertamenti, anche ai fini della valutazione della riammissione al lavoro del dipendente, devono essere posti in essere dal medico competente o da altro personale sanitario, e, comunque, nel rispetto delle disposizioni generali che vietano al datore di lavoro di effettuare direttamente esami diagnostici sui dipendenti.

Resta fermo che i lavoratori possono liberamente aderire alle campagne di screening avviate dalle autorità sanitarie competenti a livello regionale relative ai test sierologici Covid-19, di cui siano venuti a conoscenza anche per il tramite del datore di lavoro, coinvolto dal dipartimento di prevenzione locale per veicolare l’invito di adesione alla campagna tra i propri dipendenti (cfr. FAQ n. 10 – Trattamento dati nel contesto sanitario nell’ambito dell’emergenza sanitaria).

I datori di lavoro possono offrire ai propri dipendenti, anche sostenendone in tutto o in parte i costi, l’effettuazione di test sierologici presso strutture sanitarie pubbliche e private (es. tramite la stipula o l’integrazione di polizze sanitarie ovvero mediante apposite convenzioni con le stesse), senza poter conoscere l’esito dell’esame.

(Fonte Garante Privacy)

 

 

Lo Studio Patrizia Meo resta a disposizione per rispondere ai vostri quesiti

Questo articolo fa parte della rubrica “Appunti privacy durante l’emergenza Covid19

seguici sulla pagina FB www.facebook.com/patriziameoconsulenteprivacy/

24 Apr 2020

Il Comitato Europeo per la protezione dei dati, ha pubblicato le Linee-guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19 (versione in italiano sul sito del Garante Privacy).

Le linee guida ribadiscono che lo sviluppo delle app suscita “numerose preoccupazioni in materia di tutela della vita privata” e ribadisce che “il virus non conosce confini, appare preferibile sviluppare un approccio comune europeo in risposta alla crisi attuale, o almeno realizzare una cornice di interoperabilità”.

Il Comitato ribadisce e sottolinea quanto già espresso nella lettera di risposta alla Commissione europea (14 aprile), ossia che l’impiego di app per il tracciamento dei contatti dovrebbe avvenire su base volontaria e non comportare il tracciamento degli spostamenti individuali, facendo invece perno sulle informazioni di prossimità relative agli utenti. Per dati di ubicazione, utilizzare dati anonimi piuttosto che di dati personali.

È necessario tenere conto del rispetto dei principi generali di efficacia, necessità e proporzionalità che deve essere alla base delle misure adottate dagli Stati membri per combattere l’epidemia, e che comportano il trattamento di dati personali.

Il Comitato ha aggiunto che le “app non possano sostituire, ma solo supportare, il tracciamento manuale dei contatti effettuato da personale sanitario pubblico qualificato, che potrà stabilire con quale probabilità contatti ravvicinati diano luogo a una trasmissione del virus o meno (ad esempio, in caso di interazioni con una persona protetta da un adeguato equipaggiamento, come può avvenire ad esempio per un addetto alla cassa di un supermercato ecc.)”.

Inoltre, sottolinea che “le procedure e i processi, compresi gli algoritmi implementati dalle app per il tracciamento dei contatti, dovrebbero svolgersi sotto la stretta sorveglianza di personale qualificato al fine di limitare il verificarsi di falsi positivi e negativi. In particolare, le indicazioni fornite in merito ai passi da compiere successivamente alla ricezione di un alert non dovrebbero basarsi unicamente su un trattamento automatizzato”.

Fonte Garante Privacy

 

Lo Studio Patrizia Meo resta a disposizione per rispondere ai vostri quesiti

Questo articolo fa parte della rubrica “Appunti privacy durante l’emergenza Covid19

seguici sulla pagina FB www.facebook.com/patriziameoconsulenteprivacy/

23 Mar 2020

Con la progressiva emergenza del COVID 19, le imprese, gli enti e le strutture socio sanitarie, si trovano a prendere decisioni e iniziative importanti, in tempi ristretti, trovandosi a trattare un’ingente quantità di dati sullo stato di salute dei dipendenti e collaboratori.

In questo contesto, cosa deve fare il datore di lavoro e quali misure deve porre in essere, per non violare la normativa in materia di trattamento dei dati personali?

Le norme in materia di protezione dei dati (come il Regolamento generale sulla protezione dei dati) non ostacolano l’adozione di misure per il contrasto della pandemia di coronavirus. La lotta contro le malattie trasmissibili è un importante obiettivo condiviso da tutte le nazioni e, pertanto, dovrebbe essere sostenuta nel miglior modo possibile. Occorre tenere conto di una serie di considerazioni per garantire la liceità del trattamento di dati personali e, in ogni caso, si deve ricordare che qualsiasi misura adottata in questo contesto deve rispettare i principi generali del diritto e non può essere irrevocabile.

L’emergenza è una condizione giuridica che può legittimare limitazioni delle libertà, a condizione che tali limitazioni siano proporzionate e confinate al periodo di emergenza.

Sotto il profilo privacy, la temperatura corporea del lavoratore rappresenta un dato personale relativo alla sua salute, e di conseguenza la sua rilevazione è un’operazione di trattamento che, come tale, richiede lo svolgimento di specifici adempimenti. Vediamo insieme come.

Domande e risposte:

Nel controllare la temperatura dei dipendenti o collaboratori, come posso garantire la riservatezza?

E’ necessario che l’azienda metta in atto un percorso interno ad hoc, per misurare la temperatura. L’azienda deve disporre di una procedura interna e predisporre delle misure specifiche in caso di positività, in accordo con il medico del lavoro.

La persona che misura la temperatura, deve essere autorizzata dal titolare?

Si, bisogna individure i soggetti preposti alla misurazione della temperatura e fornire loro delle istruzioni.

I dipendenti devono essere informati circa il trattamento dei dati?

Si, è necessario informare i dipendenti ai sensi dell’art. 13 del GDPR. L’informativa potrà essere fornita anche oralmente o eventualmente posta all’ingresso dei locali in cui viene rilevata la temperatura.

Qual è la finalità e la base giuridica del trattamento posto in essere nel contesto emergenziale dovuto al Covid-19?

Con riferimento alla finalità del trattamento potrà essere indicata la prevenzione dal contagio da COVID-19. Come base giuridica può essere indicata l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020.

Le strutture sanitarie attuano un monitoraggio clinico degli operatori sanitari con rilevazione della temperatura corporea prima dell’inizio del turno di lavoro, e il rilievo del rialzo dellatemperatura oltre i 37,3 °C comporta l’effettuazione del tampone naso-faringeo per ricerca di SARS-CoV-2 e l’allontanamento dal luogo dilavoro con sospensione dell’attività lavorativa (Ordinanza n. 514 del 21/03/2020 Regione Lombardia)

Per quanto tempo conservo i dati?

La temperatura dovrà essere registrata solo in caso di superamento della soglia dei 37,5°. L’eventuale conservazione dei dati si farà riferimento fino al termine dello stato d’emergenza. Ricordiamo che è opportuno raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19.

Se il dipendente presenta sintomi durante il corso dell’attività lavorativa, chi contatto?

Se il dipendente presenta sintomi da contagio Covid 19 è tenuto a dichiararlo immediatamente al datore di lavoro o all’ufficio del personale. Questi procederà:

  • con l’isolamento momentaneo in base alle disposizione dell’autorità sanitaria;
  • contatterà immediatamente i servizi sanitari competenti ed attenersi alle indicazioni fornite dagli operatori sanitari.

In questo caso deve essere garantita la riservatezza delle informazioni relative al possibile contagio da Coronavirus

Posso comunicare o diffondere il nominativo del dipendente risultato positivo?

No. I dati sullo stato di salute non possono essere diffusi. La Protezione civile o le autorità sanitarie provvederanno a contattare singolarmente i soggetti a rischio entrati in contatto con il lavoratore risultato positivo al fine di adottare gli opportuni provvedimenti. L’azienda deve definire le misure di sicurezza e organizzative adeguate a proteggere i dati.

Posso richiedere al dipendente la compilazione di un questionario in cui chiedo la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19?

Il datore di lavoro può richiedere la compilazione di questionari sulla provenienza da zone a rischio epidemiologico, ricordando che deve astenersi dal richiedere informazioni ulteriori circa le persone o in merito alle specificità dei luoghi. Ricordiamo di raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19.

L’azienda dovrà informare preventivamente il personale, e chi intende fare ingresso in azienda, della preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio. Si farà riferimento in questo caso al Decreto Legge n. 6 del 23/02/2020, art. 1, lett. h) e i).

 

Lo Studio Patrizia Meo resta a disposizione per rispondere ai vostri quesiti

 

Questo articolo fa parte della rubrica “Appunti privacy durante l’emergenza Covid19”
www.patriziameo.it o pagina FB www.facebook.com/patriziameoconsulenteprivacy/

 Scrivi all’indirizzo mail: info@patriziameo.it

 

15 Mar 2020

Il 14 marzo 2020, Cgil, Cisl e Uil hanno sottoscritto con il Governo presso la Presidenza del Consiglio un protocollo di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro. Il Documento contiene linee guida condivise tra le Parti sociali per agevolare le imprese nell’adozione di protocolli di sicurezza anti-contagio.

L’adozione del protocollo di regolamentazione ha importanti implicazioni sul fronte della protezione dei dati personali. Infatti, definisce la possibilità negli ambienti di lavoro di:
•    Misurazione della temperatura corporea
•    Redazione di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti con soggetti colpiti da COVID-19

Si evidenzia che la rilevazione della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire nel rispetto del Regolamento europeo in materia di protezione dei dati personali (Reg. UE 2016/679, anche detto GDPR).

Le modalità operative previste nel protocollo, quindi, costituisco un’attività di raccolta e trattamento dei dati personali relativamente a:
•    Stato di salute: il lavoratore deve informare tempestivamente e responsabilmente il datore di lavoro della presenza di qualsiasi sintomo influenzale durante l’espletamento della prestazione lavorativa, avendo cura di rimanere ad adeguata distanza dalle persone presenti.
•    Misurazione temperatura corporea: il personale, i fornitori e gli addetti alle pulizie prima di accedere al luogo di lavoro potranno essere sottoposti al controllo della temperatura corporea.

Ai fini di una maggior tutela degli interessati oggetto del rilevamento dei dati personali, si suggerisce ai titolari del trattamento di:
•    Rilevare la temperatura e non registrare il dato acquisto.

•    Fornire l’informativa sul trattamento dei dati personali.

•    Definire le misure di sicurezza e organizzative adeguate a proteggere i dati personali.

In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie.

Qualora si richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, è lo stesso Protocollo – in una nota – a ricordare di prestare attenzione alla disciplina sul trattamento dei dati personali, poiché l’acquisizione della dichiarazione costituisce un trattamento dati.

 

Per ulteriori approfondimenti, scrivi all’indirizzo mail: info@patriziameo.it

 

2 Mar 2020

Soggetti pubblici e privati devono attenersi alle indicazioni del Ministero della salute e delle istituzioni competenti

Il Garante Privacy ha ricevendo numerosi quesiti da parte di soggetti pubblici e privati in merito alla possibilità di raccogliere, all’atto della registrazione di visitatori e utenti, informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, come misura di prevenzione dal contagio.

Analogamente, datori di lavoro pubblici e privati hanno chiesto al Garante la possibilità di acquisire una “autodichiarazione” da parte dei dipendenti in ordine all’assenza di sintomi influenzali, e vicende relative alla sfera privata.

Il Garante Privacy premette che la normativa d’urgenza adottata per far fronte all’emergenza Coronavirus prevede che chiunque abbia soggiornato negli 14 gg abbia soggiornato nelle zone a rischio epidemiologico, nonché nei comuni individuati dalle più recenti disposizioni normative, debba comunicarlo alla azienda sanitaria territoriale, anche per il tramite del medico di base, che provvederà agli accertamenti previsti come, ad esempio, l’isolamento fiduciario.

I datori di lavoro devono invece astenersi dal raccogliere:

  • informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa;
  • Utilizzare autocertificazioni in merito all’assenza di sintomi influenzali e vicende relative alla sfera privata.

La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato.

L’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.

Resta fermo l’obbligo del lavoratore di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro.

Al riguardo, il Ministro per la pubblica amministrazione ha recentemente fornito indicazioni operative circa l’obbligo per il dipendente pubblico e per chi opera a vario titolo presso la P.A. di segnalare all’amministrazione di provenire da un’area a rischio.

In tale quadro il datore di lavoro  può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni agevolando le modalità di inoltro delle stesse, anche  predisponendo canali dedicati; permangono altresì i compiti del datore di lavoro relativi alla necessità di comunicare agli organi preposti l’eventuale variazione del rischio “biologico” derivante dal Coronavirus per la salute sul posto di lavoro e gli altri adempimenti connessi alla sorveglianza sanitaria sui lavoratori per il tramite del medico competente, come, ad esempio, la possibilità di sottoporre a una visita straordinaria i lavoratori più esposti.

Nel caso in cui, nel corso dell’attività lavorativa, il dipendente che svolge mansioni a contatto con il pubblico (es. URP, prestazioni allo sportello) venga in relazione con un caso sospetto di Coronavirus, lo stesso, anche tramite il datore di lavoro, provvederà a comunicare la circostanza ai servizi sanitari competenti e ad attenersi alle indicazioni di prevenzione fornite dagli operatori sanitari interpellati.

Le autorità competenti hanno, inoltre, già previsto le misure di prevenzione generale alle quali ciascun titolare dovrà attenersi per assicurare l’accesso dei visitatori a tutti i locali aperti al pubblico nel rispetto delle disposizioni d’urgenza adottate.

Pertanto, il Garante, accogliendo l’invito delle istituzioni competenti a un necessario coordinamento sul territorio nazionale delle misure in materia di Coronavirus, invita tutti i titolari del trattamento ad attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute e  dalle istituzioni competenti per la prevenzione della diffusione del Coronavirus, senza effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti.

Roma, 2 marzo 2020

(Garante privacy)

24 Feb 2020

Non aver impedito che i dipendenti potessero “sbirciare” il dossier sanitario dei colleghi costerà ad un’azienda ospedaliera 30.000 euro. A tanto ammonta la sanzione comminata dal Garante privacy per tre violazioni di dati personali comunicate all’Autorità dallo stesso ospedale a conclusione di normali controlli periodici. Gli accessi indebiti hanno riguardato dati sanitari di dipendenti in cura presso lo stesso nosocomio. In un caso l’accesso era stato effettuato con le credenziali di un medico che aveva lasciato incustodita la propria postazione; negli altri due casi uno specializzando e un tecnico radiologo erano entrati nel dossier sanitario dei loro colleghi.

In tutti e tre gli episodi risulta accertato, per stessa ammissione dell’azienda ospedaliera, che gli accessi erano stati effettuati non per erogare prestazioni mediche, ma per esclusive ragioni personali, descritte dall’azienda come “mera curiosità”.

Gli accertamenti svolti dal Garante hanno evidenziato che le misure tecniche e organizzative adottate dall’ospedale, a tutela del dossier sanitario aziendale, non si erano dimostrate idonee ad assicurare una adeguata tutela dei dati personali dei pazienti e a proteggerli da trattamenti non autorizzati, determinando così un trattamento illecito di dati.

La violazione avrebbe potuto essere evitata se l’azienda avesse semplicemente osservato le Linee guida in materia di dossier sanitario, emanate dal Garante nel 2015, prevedendo che l’accesso al dossier sanitario fosse limitato al solo personale sanitario che interviene nel processo di cura del paziente ed avesse prestato particolare attenzione nell’individuare i profili di autorizzazione e nella formazione del personale abilitato. L’adozione preventiva di tali misure, anche alla luce dei principi di protezione dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default), costituisce oggi, per effetto delle disposizioni contenute nel Regolamento Ue 679/2016, un preciso dovere per i titolari del trattamento.

Il Garante, nel prendere atto che in seguito alla vicenda l’azienda ha avviato spontaneamente la revisione delle procedure d’accesso ai dossier sanitari, ha ingiunto alla stessa di completare tale operazione entro 90 giorni e per gli illeciti commessi ha applicato una sanzione di 30.000 euro.

(Fonte Garante Privacy)

Potrebbe interessarti:

Dossier Sanitario e accessi indiscriminati
Dossier sanitario elettronico Nuove Linee Guida del Garante Privacy
Dossier Sanitario, provvedimento nei confronti di un’Azienda Ospedaliera
30 Ott 2019

Le società che forniscono apparecchiature per l’alta diagnostica non possono utilizzare per i propri scopi i dati dei pazienti sottoposti agli accertamenti medici. Le aziende sanitarie da parte loro possono comunicare i dati sanitari a terzi solo in presenza di un adeguato presupposto normativo. E’ quanto spiega l’Ufficio del Garante privacy in una nota a conclusione di un’istruttoria nell’ambito della quale sono emersi illeciti trattamenti di dati effettuati da un’azienda sanitaria e dalla società alla quale lo stesso ente, in due occasioni, aveva messo a disposizione copie di immagini della Tac, contenenti informazioni sulla salute di alcuni pazienti.

La società una volta ricevute le immagini, attraverso un software, aveva anche effettuato un’operazione di estrazione, anonimizzazione e pseudonimizzazione di dati. Copia delle immagini rielaborate era stata poi allegata alla documentazione necessaria per partecipare a una gara d’appalto e in seguito depositata nell’ambito di un contenzioso giudiziario. Poiché i fatti risalgono al periodo antecedente la piena applicazione del Regolamento europeo (Gdpr), i trattamenti sono stati valutati alla luce del Codice privacy allora vigente.

Intervenuto a seguito di una segnalazione, il Garante ha ritenuto illecito il trattamento effettuato dalla azienda sanitaria che ha messo a disposizione della società le immagini della Tac, determinando così una “comunicazione” di informazioni sulla salute di alcuni pazienti identificati in assenza di un’adeguata base normativa. Parimenti illecito è stato ritenuto dall’Autorità il trattamento svolto dalla società. La designazione della stessa come “responsabile del trattamento” da parte dell’azienda sanitaria non giustifica l’acquisizione delle immagini della Tac.

Le operazioni eseguite perseguono, infatti, finalità proprie della società (partecipazione alla gara e difesa in giudizio) non riconducibili a quelle per le quali era stata designata responsabile. Tra queste rientrano, ad esempio, le attività di manutenzione per garantire l’efficienza dell’apparecchiatura e la qualità delle immagini della Tac.

Il Garante quindi, rilevati gli illeciti trattamenti svolti dall’azienda sanitaria e dalla società, ha avviato i relativi procedimenti sanzionatori.

Fonte Garante Privacy

23 Lug 2019

Il Garante privacy ribadisce che non è lecito l’invio di comunicazioni commerciali ai possessori di tessere fedeltà che non abbiano espresso uno specifico e libero consenso all’uso dei propri dati a fini di marketing. Così nel provvedimento del 20 giugno 2019, l’Autorità impone ad un’importante catena di negozi l’adozione di una serie di misure per garantire il rispetto delle misure poste a tutela della privacy dei consumatori.

Il provvedimento è stato adottato in seguito alle violazioni segnalate da alcuni clienti e confermate da un’ispezione svolta dall’Autorità con l’ausilio del Nucleo speciale privacy della Guardia di Finanza, prima dell’applicazione del nuovo Regolamento UE sulla protezione dei dati personali (Gdpr), al termine della quale la stessa Guardia di Finanzia aveva provveduto a contestare direttamente in loco una sanzione amministrativa.

I clienti si erano lamentati per la continua e indesiderata ricezione in posta elettronica di offerte commerciali da parte dell’azienda di cui possedevano una carta fedeltà. Gli interessati avevano, peraltro, chiesto più volte alla società, sia telefonicamente, sia tramite procedure automatizzate, di cancellare il proprio indirizzo dalla mailing list pubblicitaria, ma senza ottenere alcun risultato.

Nel corso dell’istruttoria avviata dal Garante, l’impresa si è giustificata affermando di non essere stata in grado di bloccare l’invio di e-mail pubblicitarie per problemi connessi alle sue banche dati – contenenti dati di oltre dieci milioni di clienti – che, in quel periodo, erano in fase di migrazione verso un’unica piattaforma.

Dall’ispezione sono emersi ulteriori problemi relativi alla gestione dei dati personali dei clienti. E’ stato in particolare accertato che il consenso al trattamento dei dati per l’invio di comunicazioni commerciali – acquisito attraverso i vecchi moduli di adesione al programma fedeltà – non poteva essere ritenuto valido, poiché i clienti erano costretti a rilasciarlo per poter ottenere i servizi proposti con la carta fedeltà. Inoltre, il sistema informativo della società non era in grado di tracciare e gestire adeguatamente le richieste di esercizio dei diritti degli interessati, in particolare quello di opposizione al trattamento per finalità di marketing, e di interrompere, di conseguenza l’invio di spam.

…. la Società ha effettuato un ulteriore illecito trattamento di dati, perché ha inviato comunicazioni promozionali a taluni clienti che si erano opposti al trattamento per finalità di marketing (v. allegati 8 e 28, verbali 7 e 8 febbraio 2018).

Anche in questo caso, la Società ha violato i richiamati artt. 23 e 130 del Codice.

Per le suddette ragioni, i dati personali – relativi agli interessati, per i quali la Società non disponga di un documentato consenso libero e specifico per le finalità di marketing – non possono essere ulteriormente trattati per tali scopi, e se ne deve quindi vietare l’ulteriore trattamento ai sensi dell’art. 58, par. 2, lett. f), del Regolamento UE.

Nel suo provvedimento, il Garante ha quindi prescritto misure per mettersi in regola con le nuove disposizioni in materia di protezione dei dati personali e, esercitando per la prima volta i nuovi poteri correttivi offerti dal Gdpr, ha “ammonito” la società a non utilizzare più, per finalità di marketing, i dati personali degli interessati, raccolti mediante i moduli relativi alla fidelity card contestata.

…. i dati raccolti dal titolare per l’erogazione di alcuni servizi vengono di fatto piegati ad una finalità diversa (cioè l’invio di messaggi promozionali, anche tramite email ed sms) da quella che ne ha giustificato la raccolta, in violazione, dunque – oltre che del principio del consenso libero e specifico, di cui agli artt. 23 e 130, del Codice – dei principi di correttezza e finalità del trattamento dei dati personali, sanciti dall’art. 11, comma 1, lett. a) e b), del Codice e ribaditi all’art. 5, par. 1 e 2, del Regolamento UE.

Nel prendere atto che i dati personali raccolti mediante i moduli relativi alle fidelity card “Saturn” (utilizzati dal 2001 al 2009), non sono più oggetto di trattamento secondo quanto emerso in atti, tuttavia si ritiene opportuno ai sensi dell’art. 58, par. 2, lett. b), del Regolamento UE, ammonire la Società affinchè non effettui alcun ulteriore trattamento dei dati in questione, essendo stati raccolti in assenza di un comprovato consenso libero e specifico per finalità promozionali.

Ha inoltre vietato l’utilizzo, per gli stessi fini, dei dati di qualunque interessato, in assenza di un comprovato consenso, libero e specifico. Alla società è stato ingiunto, infine, di implementare misure organizzative e tecniche adeguate per garantire la corretta gestione dei diritti degli interessati, assicurando anche il tracciamento puntuale delle richieste ricevute dalla clientela, e così poter comprovare il rispetto (accountability) degli adempimenti privacy.

È bene ricordarsi che il titolare è tenuto a predisporre le misure tecnico-organizzative volte a favorire l’esercizio dei diritti da parte dell’interessato, anche programmando adeguatamente i propri sistemi informatici al fine di poter verificare eventuali opposizioni o revoche del consenso da parte dei propri clienti.

(Fonte Garante Privacy)

1 Mag 2019

Sanzione di 16 mila euro al medico che ha utilizzato circa 3.500 indirizzi di ex pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche regionali del 4 marzo 2018, senza che gli interessati avessero espresso alcun specifico consenso a riguardo. L’Autorità Garante Privacy aveva avviato un’istruttoria a seguito di alcuni articoli di stampa che segnalavano la vicenda. Il medico si è difeso affermando di aver scritto ai suoi ex pazienti, che aveva avuto in cura presso un importante Istituto oncologico, per informarli della sua nuova sede di lavoro, avendo cessato il suo rapporto professionale presso l’Istituto. Con l’occasione, aveva contestualmente espresso il suo sostegno a un candidato alle elezioni, già assessore alla Sanità e al Welfare, e aveva ritenuto di rispettare le norme consentendo ai destinatari di opporsi alla ricezione dei messaggi, mediante un link posto in calce alla mail.

Il Garante ha giudicato un tale trattamento di dati personali illecito per diversi profili.

In primo luogo, il medico non ha reso l’informativa né al momento della registrazione dei dati dei pazienti né alla prima comunicazione, come previsto dal Codice privacy. Questo adempimento è infatti obbligatorio in quanto i dati, nel caso di specie, non risultano raccolti dal medico direttamente presso gli interessati, ma ricevuti dall’Istituto oncologico all’atto della cessazione del rapporto di lavoro. Inoltre, il medico ha utilizzato i dati dei suoi ex pazienti per finalità diverse da quelle di cura, per le quali erano stati raccolti, senza aver acquisito uno specifico e autonomo consenso.

…… Nel caso di specie, risulta accertato che la parte ha acquisito xxx la mailing list contenente i nominativi e gli indirizzi e-mail dei propri pazienti, al momento della cessazione del proprio rapporto di lavoro; tuttavia, non risulta provato né documentato in atti che sia stata resa l’informativa agli interessati, al momento dell’acquisizione da parte del dott. XX dei suddetti dati, così come previsto dall’art. 13, comma 4, del Codice. Per quanto riguarda, invece, la violazione di cui all’art. 162, comma 2-bis, del Codice, si rappresenta che la condotta illecita contestata alla parte si riferisce all’utilizzo dei dati personali per finalità differenti da quelli di cura (che avevano giustificato l’originario trattamento), senza che gli interessati avessero espresso il proprio specifico e autonomo consenso. Infatti, la missiva oggetto dell’istruttoria, non si limitava a rendere noto ai pazienti gli spostamenti del professionista, ma indicava chiaramente il sostegno a un candidato nell’ambito delle consultazioni elettorali che si sarebbero svolte di lì a poco in Lombardia. Aspetto senz’altro censurabile sotto il profilo della protezione dei dati personali, posto che si tratta di una finalità perseguita dal dott. XX senza che gli interessati avessero espresso alcuna manifestazione di consenso al riguardo; ….

Come chiarito dal Garante nel Provvedimento generale in materia di propaganda elettorale del 6 marzo 2014, “i dati personali raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti“.

Nonostante la sanzione sia stata comminata in base al vecchio Codice, i principi che la ispirano restano validi anche in base al nuovo Regolamento Ue, come di recente precisato nel provvedimento dell’Autorità del 7 marzo 2019.

(Fonte Garante Privacy)

Potrebbe interessarti: Provvedimento in materia di propaganda elettorale e comunicazione politica – 18 aprile 2019
(In corso di pubblicazione sulla Gazzetta Ufficiale)
28 Feb 2018

Una fondazione che si occupa anche di assistenza geriatrica potrà attivare all’interno della sua struttura un sistema di sorveglianza mediante dispositivi indossabili per consentire al personale sanitario di controllare, anche a distanza, i pazienti totalmente non autosufficienti.

Il sistema, che prevede l’uso di un bracciale o una cavigliera dotati di un localizzatore e di un misuratore di frequenza cardiaca, è stato ritenuto adeguato dal Garante privacy [doc. web n. 7810766] in considerazione delle provate e giustificate esigenze di tutela della salute e di incolumità dei pazienti, nonché delle misure di sicurezza  previste dalla fondazione. L’impiego del dispositivo sarà limitato a un esiguo numero di casi e sarà applicato solo con il consenso scritto dei malati, revocabile in ogni momento. La localizzazione del paziente non sarà sistematica, ma avverrà soltanto all’interno della struttura e al verificarsi di determinati eventi che possono esporre l’ospite a pericoli: l’allontanamento dal reparto, l’accesso ad aree precluse, come la farmacia della struttura, o la rilevazione di un’alterazione della frequenza cardiaca. In quest’ultimo caso, oltre alla localizzazione, si attiverà la telecamera più vicina al paziente, con registrazione delle immagini per 30 minuti e l’invio di un messaggio di allerta al personale. Le immagini registrate non saranno conservate per più di 72 ore, tranne i casi in cui sia necessario prolungare la conservazione per esigenze di prova.

L’Autorità considerata la peculiarità del sistema e l’estrema delicatezza dei dati ha ritenuto opportuno prescrivere ulteriori misure, oltre a quelle già previste dalla fondazione, per innalzare il livello di tutela della riservatezza e della dignità dei pazienti. Il bracciale o la cavigliera dovranno essere applicati con le modalità che risultino più accettabili per il paziente, al quale, qualora le condizioni lo consentano, dovrà essere fornita una informativa sul trattamento dei dati personali adeguata alle sue capacità di comprensione. Il giudizio della commissione interna, istituita per stabilire la necessità di una sorveglianza continua attraverso un dispositivo indossabile, dovrà essere oggetto di valutazione periodica. Almeno ogni settimana, infine, dovrà essere verificata la regolarità del funzionamento e la corretta attribuzione del bracciale o della cavigliera al singolo paziente per accertare che non si siano verificati scambi o altri comportamenti che possano alterarne la funzionalità. Le prescrizioni del Garante si aggiungono alle misure  già contemplate dalla fondazione che si è impegnata ad assicurare elevate misure di sicurezza a protezione dei dati e dei sistemi, oltre a una periodica attività di formazione del personale e di informazione di ospiti, familiari e lavoratori.

(Fonte Garante Privacy)

  • 1
  • 2