Home
3 ottobre 2022
Piattaforma digitale per l'erogazione di benefici economici pubblici, screening oncologici e app per diabetici: le ultime dal Garante Privacy
Dalle sanzioni alla Regione Lazio e ad un'azienda statunitense al sì condizionato sullo schema di decreto del Ministero per la transizione digitale che disciplina la nuova piattaforma per l'erogazione dei benefici economici concessi dalla PA ai cittadini. Queste le novità emerse dall'ultima newsletter dell'Autorità.
La Redazione
Screening oncologici: sanzionata la Regione Lazio
A seguito del reclamo proposto da una donna, che ha lamentato la ricezione di un invito targato Asl di Rieti che esortava sua figlia, deceduta nel 1995, a partecipare al programma di screening del tumore del collo dell'utero, il Garante Privacy ha sanzionato la Regione Lazio con una multa di 100 mila euro per non aver aggiornato i dati della piattaforma informatica per l'invito agli screening oncologici.
È stato innanzitutto rilevato che le Aziende Sanitarie della Regione utilizzano una piattaforma regionale denominata SIPSOweb che contiene tutti i parametri necessari alla generazione delle richieste. Nel caso in esame, quando l'Asl di Rieti ha consultato sulla piattaforma la scheda "dettaglio assistito" relativa alla figlia della reclamante, questa risultava ancora regolarmente inserita seppur deceduta da tempo.
In secondo luogo, è generalmente compito dell'Ente territoriale garantire, in qualità di titolare, che i dati personali siano esatti ed aggiornati, se necessario, adottando tutte le misure ragionevoli per cancellare o rettificare tempestivamente le informazioni.
La Regione Lazio, già destinataria di un precedente provvedimento da parte dell'Autorità, dovrà, quindi, necessariamente intervenire sulla SIPSOweb nonché identificare correttamente i ruoli, le finalità e le basi giuridiche del trattamento, modificando e integrando le informazioni da rendere agli interessati.
App per diabetici: abuso illecito degli indirizzi mail di 200 pazienti
Una società statunitense ha ricevuto una sanzione di 45 mila euro per violazioni sui dati personali nell'utilizzo del proprio sistema di monitoraggio del glucosio e per aver comunicato illecitamente indirizzi di posta elettronica e dati sulla salute di circa 2000 pazienti diabetici italiani.
Ma non solo. All'azienda è stato contestato anche di aver fornito agli utenti un'informativa confusa e poco chiara, nonché omesso di disegnare per iscritto il proprio rappresentante nell'UE quale interlocutore per le questioni privacy, violando così i principi di correttezza e trasparenza.
Si rammenta che, secondo il GDPR, l'indirizzo di posta elettronica va considerato dato personale in quanto riguarda un soggetto specifico ed identificato; esso va pertanto trattato in maniere lecita, corretta e trasparente. Nel caso specifico, poi, considerato che la comunicazione era indirizzata a persone affette da diabete, le informazioni contenute nella email costituivano “dati personali che possono rivelare lo stato di salute”; questi potevano quindi essere comunicati a terzi solo sulla base di una delega scritta dell'interessato o di un idoneo presupposto giuridico.
L'ente sanzionato dovrà necessariamente conformarsi alla normativa vigente e rielaborare l'informativa sulla privacy in una forma concisa, trasparente e comprensibile, comunicando le iniziative intraprese in tal senso.
PA e piattaforma per l'erogazione di benefici economici: sì condizionato
Il Garante Privacy ha apposto un sì con riserva sullo schema di decreto del Ministero per la transazione digitale che disciplina una nuova piattaforma per l'erogazione dei benefici economici concessi dalle amministrazioni pubbliche ai cittadini.
|
Lo schema regolamenta un complesso di trattamenti di dati mediante cui assicurare l'erogazione di aiuti economici desinati a specifici acquisti da effettuare usando strumenti di pagamenti elettronici, digitalizzando la PA e garantendo un più efficiente controllo della spesa pubblica. |
Il trattamento effettuato mediante tale procedura cela rischi per le libertà e la privacy delle persone, in quanto la piattaforma è destinata a raccogliere in modo massivo e generalizzato informazioni su tutti gli aspetti, anche i più delicati, della vita quotidiana dell'intera popolazione sulla base degli acquisti effettuati, nonché dati degli strumenti di pagamento (numero di carta di credito, ecc.) e dei conti correnti (IBAN) dei fruitori
Per queste ragioni, l'Autorità ha chiesto all'Amministrazione di integrare e modificare il testo del decreto, progettando la piattaforma nel rispetto dei principi di privacy by design e by default, limitando la raccolta di informazioni a quelle strettamente necessarie allo scopo perseguito dalla singola iniziativa e garantendo un'adeguata protezione dei dati mediante di sicurezza parametrati al rischio.