Il Garante Privacy ha approvato il Codice di condotta promosso da Assolavoro, l'Associazione Nazionale delle Agenzie per il Lavoro. 

Il Codice definisce le “buone prassi” per il corretto trattamento dei dati effettuato nell'ambito delle attività di intermediazione, ricerca e selezione del personale. 

Il Codice, in attesa di pubblicazione in G.U., introduce alcune previsioni a tutela dei candidati a posizioni lavorative, anche al fine di non consentire possibili discriminazioni nell'accesso al mercato del lavoro. 

In particolar modo, le Agenzie che aderiscono al Codice si impegnano a trattare solo dati strettamente necessari all'istaurazione del rapporto di lavoro, non devono quindi svolgere indagini sulle opinioni politiche, religiose o sindacali dei lavoratori o effettuare preselezioni sulla base di informazioni che riguardano stato matrimoniale, gravidanza, handicap, nemmeno con il consenso dei candidati.

Nella fase precedente all'assunzione, le Agenzie non devono reperire informazioni mediante la consultazione di profili social destinati alla comunicazione interpersonale. 

Le informazioni on line possono essere raccolte solo se rese disponibili su canali social che abbiano natura professionale, e limitatamente alle sole informazioni connesse alla competenza richiesta.

Inoltre, le Agenzie per il Lavoro non potranno trattare, anche con il consenso del candidato, informazioni relative a illeciti disciplinari o procedimenti giudiziari che lo abbiano coinvolto.

Nel caso di trattamenti totalmente automatizzati ai lavoratori deve essere garantito sempre almeno il diritto di ottenere l'intervento umano, di esprimere la propria opinione e di contestare la decisione. 

L'Autorità ha sanzionato per 200mila euro il gestore di un noto sito di incontri, per aver violato i dati personali di circa 1 milione di utenti tra cui quelli relativi alle preferenze e agli orientamenti sessuali. 

La registrazione nella piattaforma prevedeva l'inserimento di numerosi dati (interesse di incontro, nazione, regione, città di residenza, data di nascita, e-mail) e di foto, che i clienti caricavano all'interno del profilo pubblico o nell'area riservata, senza che venisse fornita loro adeguata informativa sull'uso che di quei dati sarebbe stato fatto. 

Dall'ispezione effettuata dall'Autorità è emerso che il titolare del sito non disponeva di una specifica privacy policy inerente alle tempistiche di conservazione dei dati trattati, limitandosi a procedere in maniera casuale alla cancellazione degli account non più attivi e delle informazioni contenute, così come delle richieste di iscrizione non andate a buon fine.

Il Garante, oltre alla sanzione pecuniaria, ha ordinato di adottare una serie di misure correttive al fine di conformare i trattamenti alla normativa privacy. 

La società, oltre ad individuare tempistiche di conservazione delle informazioni personali trattate, dovrà dotarsi di sistemi volti a rafforzare la sicurezza dei dati dei clienti, quali, come ad esempio, misure di cifratura o di pseudonimizzazione dei dati sensibili, file di log dotati di marche temporali e sistemi antintrusione.

In particolare, il medico lasciava le ricette per i suoi pazienti in un contenitore posto sul muro esterno dello studio medico, senza proteggerle con buste chiuse. 

In tal modo, chiunque poteva liberamente aprire il contenitore e conoscere il contenuto delle prescrizioni. 

Per questo motivo il Garante ha comminato al medico una sanzione di 20mila euro.

L'istruttoria dell'Autorità ha preso il via da un accertamento dei NAS che hanno raccolto alcune testimonianze di alcuni assistiti del medico.

l'Autorità ha ribadito, nel suo provvedimento di sanzione, che le informazioni relative alla salute possono essere sì comunicate a terzi, ma solo sulla base di un idoneo presupposto di legge o su delega scritta dell'interessato, e in ogni caso non possono mai essere diffuse. Il Garante ha ribadito che le ricette sanitarie possono essere lasciate presso le farmacie e gli studi medici, purché messe in busta chiusa, ma il fatto di averle lasciate incustodite alla portata di tutti viola la privacy dei pazienti perché permette la diffusione di dati idonei a rivelare il loro stato di salute.

Un uomo riconosce il proprio viso in un video postato sul profilo social del centro di medicina estetica dove si era sottoposto ad alcuni trattamenti al naso. 

Si rivolge al GPDP che sanziona il centro medico con una multa di 8mila euro per trattamento illecito di dati sanitari.

L'Autorità ha accertato che effettivamente il video, postato dal centro medico per scopi divulgativi, riprendeva il volto riconoscibile del paziente per più di 30 secondi, senza che l'interessato avesse rilasciato uno specifico consenso alle riprese e alla relativa diffusione. Inoltre, il filmato era rimasto online accessibile a chiunque per 45 giorni, prima di venire rimosso dal centro medico a seguito della richiesta di cancellazione del paziente.

Prima di diffondere immagini e informazioni riferite a casi clinici per scopi divulgativi o scientifici è necessario accertarsi che il paziente sia stato preventivamente informato, che abbia dato il proprio specifico consenso o che i suoi dati siano stati resi anonimi.

Senza il consenso dell'interessato è vietata la diffusione video di qualsiasi informazione sullo stato di salute.