Garante per la protezioe dei dati personali – NEWSLETTER N. 452 del 29 aprile 2019
• Propaganda elettorale: no all’uso dei dati di ex-pazienti senza consenso
• Fisco: ok del Garante Privacy alla sperimentazione di nuovi sistemi antievasione
• Sportello telematico dell’automobilista: l’Autorità chiede maggiori garanzie
_______________________________
Propaganda elettorale: no all’uso dei dati di ex-pazienti senza consenso
Il Garante sanziona un medico per 16mila euro
L’Autorità per la privacy ha comminato una sanzione di 16mila euro a un medico che ha utilizzato gli indirizzi di circa 3.500 ex-pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche regionali del 4 marzo 2018, senza che gli interessati avessero espresso alcun specifico consenso a riguardo.
Nel corso dell’istruttoria, avviata dal Garante a seguito di alcuni articoli di stampa che segnalavano la vicenda, il medico si è difeso affermando di aver scritto ai suoi ex pazienti, che aveva avuto in cura presso un importante Istituto oncologico, per informarli della sua nuova sede di lavoro, avendo cessato il suo rapporto professionale presso l’Istituto. Con l’occasione, aveva contestualmente espresso il suo sostegno a un candidato alle elezioni, già assessore alla Sanità e al Welfare, e aveva ritenuto di rispettare le norme consentendo ai destinatari di opporsi alla ricezione dei messaggi, mediante un link posto in calce alla mail.
Il Garante ha giudicato un tale trattamento di dati personali illecito per diversi profili.
In primo luogo, il medico non ha reso l’informativa né al momento della registrazione dei dati dei pazienti né alla prima comunicazione, come previsto dal Codice privacy. Questo adempimento è infatti obbligatorio in quanto i dati, nel caso di specie, non risultano raccolti dal medico direttamente presso gli interessati, ma ricevuti dall’Istituto oncologico all’atto della cessazione del rapporto di lavoro. Inoltre, il medico ha utilizzato i dati dei suoi ex pazienti per finalità diverse da quelle di cura, per le quali erano stati raccolti, senza aver acquisito uno specifico e autonomo consenso.
Come chiarito dal Garante nel provvedimento generale in materia di propaganda elettorale del 6 marzo 2014, “i dati personali raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti”.
Nonostante la sanzione sia stata comminata in base al vecchio Codice, i principi che la ispirano restano validi anche in base al nuovo Regolamento Ue, come di recente precisato nel provvedimento dell’Autorità del 7 marzo 2019.
_______________________________
Fisco: ok del Garante Privacy alla sperimentazione di nuovi sistemi antievasione
Ma devono essere assicurate adeguate garanzie a tutela dei contribuenti
Sì del Garante per la privacy alla sperimentazione di processi automatizzati per la lotta all’evasione fiscale, ma nel rispetto di precise garanzie a salvaguardia dei diritti dei cittadini. L’Agenzia delle entrate potrà iniziare ad utilizzare in via sperimentale modelli predittivi del rischio evasione attraverso la selezione automatizzata di posizioni fiscali dei potenziali evasori, anche mediante lo scambio di informazioni con amministrazioni estere.
L’Autorità ha adottato due distinti pareri su due schemi di provvedimento [doc. web n.9106360 e n. 9106329] del Direttore dell’Agenzia delle entrate riguardanti rispettivamente contribuenti con incongruenze tra i redditi dichiarati e i loro rapporti bancari e finanziari, e cittadini che hanno intrattenuto rapporti con operatori finanziari all’estero non coerenti con le informazioni in possesso del fisco.
L’Autorità ha ritenuto idonee – anche sulla base della valutazione dei rischi effettuata dall’Agenzia dell’entrate – le garanzie individuate in termini organizzativi e di sicurezza informatica. Tali garanzie riguardano, in particolare: la qualità dei dati utilizzati per la selezione dei contribuenti; i tempi di conservazione dei dati; il diritto del contribuente a essere correttamente informato e di veder garantite adeguate modalità di coinvolgimento; la necessità di condurre controlli periodici sull’esattezza dei dati e di adottare misure volte a ridurre i rischi relativi a errate rappresentazioni della capacità contributiva, che potrebbero recare ingiustificati pregiudizi agli interessati.
All’Agenzia delle entrate – che avrà l’obbligo di inviare un avviso ai contribuenti sotto accertamento affinché provvedano a regolarizzare la propria posizione – l’Autorità ha chiesto anche ulteriori garanzie per la condivisione con la Guardia di Finanza delle informazioni relative ai rapporti finanziari.
Giova ricordare che la selezione automatizzata dei contribuenti trova la sua base giuridica in una serie di norme nazionali, così come richiesto dal Regolamento Ue, che consente tali trattamenti nel caso in cui siano ammessi dalla normativa dello Stato membro, sulla base di precise misure a tutela delle persone, e siano autorizzati dall’Autorità garante.
Proprio alla luce del Regolamento europeo – allo scopo di evitare possibili discriminazioni o pregiudizi – i processi automatizzati devono garantire massima sicurezza e trasparenza, anche riguardo alla logica alla base degli algoritmi utilizzati.
L’Autorità seguirà da vicino la fase iniziale di sperimentazione per assicurare che vengano rispettate le misure individuate e sottoporrà a ulteriore analisi eventuali modifiche del modello predittivo utilizzato dall’Agenzia.
_______________________________
Sportello telematico dell’automobilista: l’Autorità chiede maggiori garanzie
Il Garante per la protezione dei dati personali chiede maggiori garanzie per il rilascio del documento unico di circolazione e proprietà che dal 2017 sostituisce il certificato di proprietà e la carta di circolazione di un veicolo. Il rilascio del documento sarà gestito interamente in via telematica e prevede lo scambio di informazioni tra banche dati pubbliche.
Lo schema di d.P.R. predisposto dalla Presidenza del Consiglio dei Ministri, che è volto a semplificare le procedure e gli adempimenti riferiti allo “Sportello telematico dell’automobilista” (STA), va pertanto integrato in modo da garantire adeguate misure di sicurezza e la precisa identificazione dei soggetti coinvolti e dei ruoli loro assegnati.
Nel suo parere il Garante pone l’attenzione, in particolare, sul fascicolo digitale che raccoglie i dati personali del proprietario, la situazione giuridico-patrimoniale dei veicoli ed eventuali provvedimenti amministrativi e giudiziari. Una mole di informazioni delicate e rilevanti, se si considera che ogni anno vengono rilasciati circa 10 milioni di documenti unici. Un trattamento di dati che, alla luce del nuovo Regolamento europeo, rientra tra quelli su larga scala soggetti a un regime più stringente.
L’Autorità evidenzia dunque la necessità di adottare alti livelli di sicurezza dei sistemi di trattamento, attraverso l’implementazione di misure tecniche e organizzative che consentano la massima protezione dei dati e ne garantiscano il recupero in caso di violazioni, manomissioni o perdita.
Inoltre, considerata la centralità del ruolo del Ministero delle infrastrutture e dei trasporti e dei soggetti coinvolti quali ACI, delegazioni dell’ACI e imprese di consulenza per la circolazione dei mezzi di trasporto si rende necessaria la loro corretta e trasparente individuazione, così come una precisa assegnazione dei ruoli di titolare, contitolare e responsabile del trattamento.
L’Autorità chiede che tali misure necessarie per tutelare i diritti dei cittadini siano previste nello schema di decreto o nel successivo atto ministeriale da adottare previo parere del Garante, con il quale saranno definite le procedure necessarie al funzionamento dello STA.
