Home
Network ALL-IN
Quotidiano
Specializzazioni
Rubriche
Strumenti
Fonti
12 agosto 2024
Dall'oblio oncologico ai limiti dell'intelligenza artificiale, quali sono gli interventi del Garante Privacy
Con la newsletter n. 526 del 9 agosto 2024, l'Autorità chiarisce il diritto a non fornire informazioni sul proprio stato di salute riconosciuto a coloro che hanno affrontato cure contro il cancro. Nuove regole anche nei confronti della normativa sull'IA, mentre finiscono nel mirino del Garante una banca e una società di leasing che non hanno rispettato il trattamento dei dati personali dei propri clienti.
di La Redazione
Specifiche sull'oblio oncologico

Il Garante Privacy chiarisce alcuni aspetti riguardo al diritto all'oblio oncologico. Il documento pubblicato dall'autorità per la protezione dei dati personali ha come obiettivo quello di prevenire le discriminazioni e tutelare i diritto delle persone che sono guarite da malattie oncologiche fornendo anche indicazioni utili ai datori di lavoro, banche, assicurazioni e intermediari del credito e finanziari perché possano applicare correttamente questa normativa.
È fatto divieto ai soggetti appena elencati di richiedere all'utente e al dipendente informazioni sulla malattia da cui sia stato affetto a il cui trattamento si sia concluso, senza episodi di recidiva, da più di dieci anni, termine dimezzato se il soggetto non ne ha ancora 21. Anche le coppie che presentano domande di adozione non devono fornire informazioni riguardo patologie oncologiche pregresse se è passato un decennio dalla guarigione. Il compito di vigilanza sulla corretta applicazione della legge, inoltre, è affidato al Garante Privacy, che nel caso di violazioni potrà ricorrere alla sanzioni previste dal GDPR.

Intelligenza artificiale, urgono interventi normativi

Sì allo schema di disegno di legge governativo sull'IA, ma con integrazioni. Il Garante Privacy ha approvato il progetto che disciplina la ricerca, la sperimentazione, lo sviluppo, l'adozione e l'applicazione di sistemi e modelli di Intelligenza Artificiale nei diversi settori della società, come sanità, giustizia e lavoro, chiedendo però di completarlo per garantire una maggiore tutela dei dati personali dei cittadini.
In particolare l'Autorità vuole introdurre un articolo che affermi che i trattamenti di dati personali effettuati attraverso i sistemi di intelligenza artificiale devono rispettare la normativa privacy nazionale ed europea. Il testo, inoltre, dovrà essere integrato con uno specifico riferimento a sistemi adeguati di verifica dell'età in grado di garantire limitazioni o divieti all'uso dei sistemi di IA da parte dei minori. Particolari limitazioni saranno previste anche per l'utilizzo di questa tecnologia in ambito sanitario ad alto rischio. 

Sanzioni per una banca e una società di leasing nell'ambito del noleggio auto

Sanzione da un milione di euro per Credit Agricole Auto Bank. La società è stata punita per aver gestito in modo illecito i dati personali e reddituali di clienti che richiedevano il finanziamento per il noleggio a lungo termine di una autovettura. La banca accedeva al database Scipafi (Sistema centralizzato di prevenzione delle frodi) - anche per conto della controllata Drivalia, società di leasing auto - pur essendo consapevole di non avere la necessaria autorizzazione del Ministero dell'Economia e delle Finanze per effettuare tali accessi, giustificando poi le verifiche con la prevenzione di truffe, insolvenze, o altri eventi simili.
Il Garante Pirvacy è intervenuto a seguito del reclamo di una cliente che lamentava il mancato riscontro, da parte della Banca e di Drivalia, alla sua richiesta di conoscere le motivazioni alla base del rifiuto del noleggio a lungo termine di un'auto e dell'inserimento del proprio nominativo nella lista dei cattivi pagatori. La Banca affermava che il rifiuto del finanziamento e l'inserimento del nominativo nella «black list» erano dovuti all'esito negativo della verifica della situazione reddituale della cliente effettuata nel database Scipafi.
L'Autorità, nel corso dell'attività istruttoria, ha accertato che la Banca non aveva l'autorizzazione del Mef per poter consultare il database Scipafi per conto di Drivalia. Inoltre, l'accesso era avvenuto senza che fosse stata prima acquisita la dichiarazione dei redditi della cliente, documento indispensabile per effettuare il confronto con le informazioni contenute in Scipafi.
Anche Drivalia dovrà pagare una sanzione, che ammonta a 250mila euro, sempre per trattamento illecito di dati personali. L'Autorità ha accertato che la società non era autorizzata dal Mef ad acquisire e trattare i dati dei clienti presenti in Scipafi, neanche attraverso CA Auto Bank. Inoltre l'informativa resa ai clienti non consentiva, all'epoca dei fatti, di individuare tipologia e origine dei dati trattati, i database consultati per verificare le posizioni reddituali dei clienti e se gli accessi ai database fossero effettuati direttamente da Drivalia o tramite CA Auto Bank.

Documenti correlati