Ammonta a 670mila euro la multa che l'Autorità ha inflitto ad una società operante nella fornitura dei servizi di luce e gas per trattamento illecito di dati personali a fini promozionali.

A seguito dei reclami di utenti che lamentavano la ricezione di telefonate indesiderate effettuate da diversi call center per promuovere i servizi offerti dalla società, il Garante ha riscontrato molte le criticità, in particolare l'effettuazione di chiamate promozionali in assenza di un'idonea base giuridica, la mancanza di controlli lungo tutta la filiera e l'implementazione di alcune misure tecnico-organizzative con notevole ritardo rispetto all'entrata in vigore del Regolamento UE.

Per questo motivo, la società dovrà adottare misure tecniche e organizzative adeguate per quanto riguarda la selezione e la vigilanza sull'operato delle agenzie esterne che svolgono attività di telemarketing ed i implementare i necessari accorgimenti per evitare il rischio di attivazione di contratti di fornitura originati da un contatto promozionale illecito.

Lo ha ribadito il Garante sanzionando per 17mila euro un'Azienda sanitaria territoriale. In particolare, ha sostenuto che «le certificazioni che attestano la presenza in Ospedale, per giustificare un'assenza dal lavoro o l'impossibilità di partecipare ad un concorso, non devono riportare le indicazioni della struttura presso la quale è stata erogata la prestazione sanitaria, il timbro con la specializzazione del medico, o informazioni che possano far risalire allo stato di salute».

Secondo l'Autorità, i dati trattati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Per questo motivo, è stata sanzionata una struttura sanitaria che aveva rilasciato alla paziente reclamante un certificato medico che riportava l'indicazione del reparto che aveva erogato la prestazione sanitaria, violando gli obblighi in materia di sicurezza e il principio di minimizzazione dei dati personali.

Sono state pubblicate le Faq del Garante Privacy in materia di accesso ai dati personali della cartella clinica, il documento che contiene l'insieme di informazioni sanitarie e anagrafiche sul singolo ricovero.

I chiarimenti dell'Autorità giungono a seguito di alcuni reclami di utenti che lamentavano il mancato rilascio gratuito da parte di strutture sanitarie della prima copia cartacea della propria cartella clinica. Nelle Faq il Garante chiarisce che la struttura sanitaria, titolare del trattamento, a seguito di una istanza presentata ai sensi dell'art. 15 del Regolamento, è tenuta a fornire al richiedente copia dei dati personali oggetto del trattamento. La prima copia di tali dati è rilasciata gratuitamente.

La struttura sanitaria valuta se fornire copia integrale di tutta o parte della documentazione contenuta nella cartella clinica. La struttura è tenuta a fornire al richiedente, gratuitamente, copia integrale della propria documentazione sanitaria quando ciò sia necessario per consentirgli di verificare l'esattezza, la completezza e l'intelligibilità delle informazioni richieste.

Ammonta a 25mila euro la sanzione che il Garante Privacy ha comminato ad un'azienda ospedaliera a seguito dell'attacco hacker subito ai sistemi informativi.

Il data breach, causato da un malware di tipo ransomware introdotto nei sistemi attraverso l'accesso a un PC aziendale con VPN aperta, aveva comportato la perdita di riservatezza, integrità e disponibilità dei dati personali di un numero elevato di interessati.

Dalla documentazione trasmessa dall'ispezione effettuata dall'Autorità sono emerse alcune carenze relative agli obblighi di sicurezza previsti dal Regolamento europeo, dovute all'adozione di sistemi non aggiornati e a misure inadeguate a rilevare tempestivamente le violazioni di dati e a garantire la sicurezza delle reti informatiche. In particolare, l'utilizzo di software obsoleti, per i quali non erano più previsti aggiornamenti di sicurezza e di alert non a copertura h24, hanno favorito il verificarsi dell'attacco hacker.

Sono state inoltre accertate ulteriori omissioni riguardanti le misure di sicurezza, tra cui la mancanza di una procedura di autenticazione informatica a più fattori per l'accesso da remoto alla VPN, che invece avveniva solo attraverso l'utilizzo di username e password; e l'assenza di un sistema per segmentare e segregare le reti delle postazioni dei dipendenti, nonché i server per i trattamenti, per evitare una propagazione di virus.