Privacy e condominio

“L’amministratore di condominio deve garantire la tutela della protezione dei dati personali dei condomini con riferimento ai pagamenti delle spese condominiali, di cui abbia conoscenza in ragione del suo mandato professionale. Se non rispetta tale obbligo, comunicando a soggetti terzi lo stato di morosità altrui, commette il reato di diffamazione. La decisione de qua risulta in linea con la normativa vigente in tema di protezione dei dati personali e con il Vademecum “Il Condominio e la Privacy” pubblicato dal Garante Privacy poco prima dell’entrata in vigore del Regolamento europeo in tema di protezione dei dati personali (GDPR).

La predetta normativa prevede che l’Amministratore di un condominio, non deve esporre avvisi di mora o sollecitazioni al pagamento negli spazi condominiali accessibili a terzi (ad esempio all’ingresso del palazzo), bensì è obbligato (in base alla legge n. 220/2012 che ha modificato il capo del Codice Civile relativo al condominio negli edifici) a comunicare solamente ai creditori non ancora soddisfatti, che ne facciano richiesta, i dati dei condomini morosi.”

 

Cassazione civile sez. III, 05/09/2019, n.22184

Provvedimenti del GARANTE

Multato un comune, di seguito link provvedimento del GARANTE:

Ordinanza ingiunzione – 15 gennaio 2020

 

Invio di una comunicazione mediante un unico messaggio di posta elettronica indirizzato a un numero plurimo di destinatari (16), i cui indirizzi sono stati inseriti nel campo copia conoscenza (c/c), ha, di fatto, senza giustificato motivo e in assenza di qualsivoglia presupposto normativo, rivelato reciprocamente, alle famiglie coinvolte, lo stato di inadempimento dei minori rispetto agli obblighi vaccinali;

di seguito link provvedimento del GARANTE:

Provvedimento del 9 gennaio 2020

GDPR E SANITÀ Privacy dei referti online: tutte le misure per la sicurezza

L’offerta da parte delle strutture sanitarie all’accesso ai referti relativi ad esami clinici e strumentali via web o tramite posta elettronica necessita di una serie di misure di sicurezza indicate dal Gdpr e dal d.lgs. 101/2018. Vediamo quali sono:

Definizione di “referto online” e disciplina applicabile

Tra le principali e più diffuse iniziative derivanti da tale processo vi è sicuramente quella relativa ai cosiddetti “referti online”, ovvero alla possibilità di accesso semplificato dell’utente ai referti relativi ad esami clinici e strumentali, al fine di rendere più rapidamente conoscibili all’interessato gli esiti degli accertamenti cui si è sottoposto.

Le “Linee guida in tema di referti on-line” del 25 giugno 2009”, definiscono, più precisamente, il “referto online” come la possibilità di “accesso alla relazione scritta rilasciata dal medico sullo stato clinico del paziente dopo un esame clinico o strumentale, con modalità informatica”.

Tale accesso, da parte del soggetto interessato, può avvenire in due distinte modalità:

  • la consultazione e il download dal sito web della struttura del referto o del reperto (inteso come il risultato dell’esame clinico o strumentale effettuato, come ad es. un’immagine radiografica, un’ecografia o un valore ematico), da parte dell’utente.
  • la ricezione del referto presso la casella di posta dell’interessato;

Le succitate Linee guida prevedono inoltre che:

  • l’adesione al servizio di invio dei referti online, per entrambe le modalità indicate, deve essere facoltativa, ovvero all’interessato deve essere comunque riconosciuta la possibilità di scegliere di ritirare il referto in formato cartaceo;
  • l’interessato può indicare un medico (es. il proprio medico curante) al quale consegnare il referto in modalità digitale;
  • l’interessato, qualora il servizio fosse previsto, può chiedere di essere avvisato della disponibilità del referto tramite sms; in questo caso, il messaggio deve contenere la sola notizia della disponibilità del referto e non anche il dettaglio della tipologia o dell’esito dell’esame clinico o strumentale;
  • non possono essere trasmessi in modalità digitale i referti relativi ad accertamenti riferibili ad indagini genetiche o all’HIV.

Le Linee guida del Garante in tema di referti on-line individuano una serie di misure, in relazione alle specifiche modalità di consegna, atte a garantire la sicurezza dello specifico trattamento:

Consultazione on-line dei referti tramite servizi Web accessibili da Internet

Nel caso in cui il servizio che si intenda offrire consti nella possibilità per l´interessato di collegarsi al sito Internet della struttura sanitaria che ha eseguito l´esame clinico, al fine di effettuare la copia locale (download) o la visualizzazione interattiva del referto, dovrebbero essere adottate delle specifiche cautele quali:

  • protocolli di comunicazione sicuri, basati sull’utilizzo di standard crittografici per la comunicazione elettronica dei dati, con la certificazione digitale dell’identità dei sistemi che erogano il servizio in rete (protocolli https ssl – Secure Socket Layer);
  • tecniche idonee ad evitare la possibile acquisizione delle informazioni contenute nel file elettronico nel caso di sua memorizzazione intermedia in sistemi di caching, locali o centralizzati, a seguito della sua consultazione on-line;
  • l’utilizzo di idonei sistemi di autenticazione dell’interessato attraverso ordinarie credenziali o, preferibilmente, tramite procedure di strong authentication;
  • disponibilità limitata nel tempo del referto on-line (massimo 30 gg.);
  • possibilità da parte dellutente di sottrarre alla visibilità in modalità on-line o di cancellare dal sistema di consultazione, in modo complessivo o selettivo, i referti che lo riguardano.

Spedizione del referto tramite posta elettronica

Qualora il titolare del trattamento intenda inviare copia del referto alla casella di posta elettronica dell´interessato, a seguito di sua richiesta, per il referto prodotto in formato digitale dovranno essere osservate le seguenti cautele:

  • spedizione del referto in forma di allegato a un messaggio e-mail e non come testo compreso nella body part del messaggio;
  • il file contenente il referto dovrà essere protetto con modalità idonee a impedire l’illecita o fortuita acquisizione delle informazioni trasmesse da parte di soggetti diversi da quello cui sono destinati, che potranno consistere in una password per l´apertura del file o in una chiave crittografica rese note agli interessati tramite canali di comunicazione differenti da quelli utilizzati per la spedizione dei referti (Cfr. regola 24 del Disciplinare tecnico allegato B) al Codice). Tale cautela può non essere osservata qualora l´interessato ne faccia espressa e consapevole richiesta, in quanto l’invio del referto alla casella di posta elettronica indicata dall’interessato non configura un trasferimento di dati sanitari tra diversi titolari del trattamento, bensì una comunicazione di dati tra la struttura sanitaria e l’interessato effettuata su specifica richiesta di quest’ultimo;
  • convalida degli indirizzi e-mail tramite apposita procedura di verifica online, in modo da evitare la spedizione di documenti elettronici, pur protetti con tecniche di cifratura, verso soggetti diversi dallutente richiedente il servizio.

In ogni caso, per il trattamento dei dati nell’ambito dell’erogazione del servizio online agli utenti dovrà essere garantita la disponibilità di:

  • idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento (ad es., in relazione alla possibilità di consultazione, modifica e integrazione dei dati), prevedendo il ricorso alla strong authentication con utilizzo di caratteristiche biometriche nel caso del trattamento di dati idonei a rivelare l´identità genetica di un individuo;
  • separazione fisica o logica dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali trattati per scopi amministrativo-contabili.

Il titolare del trattamento dovrebbe, inoltre, prevedere apposite procedure che rendano immediatamente non disponibili per la consultazione online o interrompano la procedura di spedizione per posta elettronica dei referti relativi a un interessato che abbia comunicato il furto o lo smarrimento delle proprie credenziali di autenticazione all’accesso al sistema di consultazione on-line o altre condizioni di possibile rischio per la riservatezza dei propri dati personali.

In ogni caso dovrebbero essere adottate tutte le misure di sicurezza necessarie per rispettare il divieto di diffusione dei dati sanitari.

E’ fondamentale considerare che le cautele elencate dal Provvedimento, precedente all’entrata in vigore del Regolamento europeo, sono da considerarsi “minime”: il principio di accountability impone, invece, al titolare del trattamento, “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche”, di mettere in atto misure tecniche ed organizzative adeguate. E’ pertanto necessario che il titolare individui, in relazione alle specificità del servizio offerto e sulla base di una puntuale valutazione del rischio, le misure di sicurezza più idonee a garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati.

 

FaceApp, l’app che piace perché invecchia. Ma crescono i dubbi sulla privacy

FaceApp, l’app che piace perché invecchia. Ma crescono i dubbi sulla privacy
fonte: Repubblica.it

“COME sarò in futuro e, soprattutto, dove finiranno le mie foto?”. Se lo chiedono in tanti ormai mentre usano FaceApp, l’applicazione che invecchia i lineamenti creata nel 2017 e tornata virale grazie al FaceApp Challenge, la gara lanciata per pubblicizzare le nuove funzioni all’insegna del “Come sarai tra 30 anni?”. Il primo boom era arrivato con la trasformazione del genere e sui social il massimo divertimento era nel postare la propria immagine convertita all’altro sesso. Ora a tenere banco sui social network è l’invecchiamento (assieme al ringiovanimento) dei tratti somatici, ottenuta in modo verosimile con l’intelligenza artificiale.

L’utilizzo dell’app è facile e immediato: basta scaricarla dal PlayStore di Google o dall’Apple Store, e caricare un selfie per vederlo trasformato in base al filtro selezionato. Per ottenere questo risultato, la nostra foto transita però su server all’estero, dove i dati “potranno essere archiviati e lavorati negli Stati Uniti (dove FaceApp dichiara di avere sede) o in qualsiasi altro paese in cui Faceapp, i suoi affiliati (altre aziende del gruppo, ndr) o i fornitori del servizio possiedono le infrastrutture”, si legge nella policy per il trattamento dei dati sensibili ferma al 2017 (quindi precedente all’entrata in vigore del Gdpr).

Ma chi c’è dietro il programma di ritocco che fa impazzire anche i personaggi noti, da Alessandro Gassmann ad Aurora Ramazzotti, passando per i Ferragnez e i calciatori ‘invecchiati’ dai fan curiosi? FaceApp è prodotta la Wireless Lab OOO, società con base a San Pietroburgo fondata da Yaroslav Goncharov, che non offre però informazioni trasparenti su tempi e uso dei dati raccolti dai migliaia di utenti che l’hanno scaricata. Nulla vieta, insomma, che la nostra immagine o quella dei nostri familiari venga data in pasto alle reti neurali utilizzate per addestrare l’intelligenza artificiale al riconoscimento facciale, a fini commerciali o per altri scopi.

In Italia tra le associazioni pronte a sollevare i dubbi sulla privacy da parte di FaceApp ci sono Altroconsumo e Codacons, con l’intenzione di presentare un esposto all’autorità garante affinché avvii una indagine sull’applicazione. “Questo apparentemente innocuo tormentone estivo rischia di nascondere un traffico, potenzialmente pericoloso, di dati sensibili – spiegano dal Codacons, sottolineando come leggendo “il documento relativo al trattamento dei dati sorgano seri dubbi sull’utilizzo e sul rispetto della riservatezza degli utenti”. Con un’aggravante, fa notare Altroconsumo, – pronta a chiedere al garante una diffida – per il fatto che FaceApp può accedere anche ai file multimediali di WhatsApp e raccogliere dati aggirando l’obbligo di avere scaricato l’app. Così come viene dato per sontato il consenso per la geolocalizzazione. Delle società terze cui potrebbero essere ceduti questi dati, tra l’altro, si legge nella policy di FaceApp che “questi affiliati rispetteranno le scelte che fai su chi può vedere le tue foto”, informazione che però l’app non richiede durante l’uso.

Sezioni: Rassegna Stampa
Aree Tematiche: PRIVACY
Tags: faceapp, garante per la privacy, privacy

Responsabilità del dirigente scolastico per violazione della privacy

Con la sentenza n. 246/2019 la Corte dei Conti- Sezione Giurisdizionale per il Lazio – ha ritenuto responsabile il Dirigente scolastico per il danno indiretto causato all’Istituto, a seguito del pagamento di una sanzione amministrativa, irrogata dal Garante della privacy per la pubblicazione su internet di una circolare contente dati riguardanti scolari affetti da disabilità.

Nella vicenda in esame l’Autorità Garante per la Protezione dei dati Personali veniva adita dal genitore di un alunno disabile, il cui nominativo era stato divulgato in rete.

L’Autorità, stante la diffusione su internet dati idonei a rilevare lo stato di salute di minori di età, in violazione del Codice in materia di protezione dei dati Personali, irrogava all’Istituto scolastico la sanzione amministrativa di € 20.000,00.

Tale sanzione veniva pagata con i fondi della scuola, con conseguente danno al bilancio dell’Istituto, le cui casse risultavano quindi depauperate ad opera della condotta gravemente negligente del Dirigente scolastico.

Dal giudizio era infatti emerso che il Dirigente scolastico aveva adottato la circolare interna avente per oggetto la “Convocazione GHL (Gruppo di Lavoro per l’Handicap operativo)”, nella quale era contenuto un elenco dei nomi degli scolari minori dell’Istituto affetti da disabilità.

La circolare ovviamente doveva essere comunicata solamente alle famiglie degli studenti in forma riservata, sia in ragione della particolare situazione di salute degli alunni interessati, sia in quanto trattavasi di una comunicazione ad uso interno, contenendo un calendario di riunioni dei consigli delle classi con presenza di alunni con Handicap (GLH).

Malgrado ciò il Dirigente scolastico, consentiva la divulgazione nella rete internet della circolare in forma integrale, non avendo prescritto alcun divieto di pubblicazione, né in ultimo controllato che la circolare non venisse pubblicata sul sito web dell’Istituto.

La Corte dei Conti nella pronuncia in esame riconosce la responsabilità del Dirigente scolastico per aver violato la normativa in materia di protezione dei dati personali, in base alla quale il trattamento dei dati sensibili ad opera dei soggetti pubblici deve conformarsi “secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell’interessato”, e svolgersi secondo alcuni principi espressamente indicati. Inoltre il comma 8 dell’art. 22 del Codice Privacy vieta espressamente la diffusione di dati idonei a rivelare lo stato di salute.

L’esigenza del legislatore è quella di evitare le sofferenze che l’ostensione del dato sensibile relativo allo stato di salute di un minore potrebbe creare, con rischi di discriminazione anche sociale, che riguardano il minore, ma anche i genitori e i familiari legati da vincoli di comunanza di vita.

La diffusione delle informazioni sulle condizioni di salute del minore infatti si riflette anche sul genitore o su altro familiare, poiché la situazione del familiare congiunto a persona affetta da invalidità in ogni caso esprime una situazione di debolezza o di disagio sociale, di per sé potenzialmente idonea ad esporre la persona a condizionamenti o discriminazioni. L’ostensione del dato sulla salute conduce quindi ad una dolorosità e a rischi di discriminazione sociale che riguardano tutti i membri della comunità familiare.

La sentenza afferma poi la responsabilità esclusiva della Dirigente scolastico, escludendo quella concorrente di altri docenti, in quanto il D.lgs. 30 marzo 2001 n. 165 attribuisce loro la responsabilità della organizzazione e gestione scolastica, da ciò ne consegue che sul Dirigente incombevano gli obblighi di verificare la correttezza e la legittimità della circolare sottoscritta e di monitorarne le sorti anche nei successivi passaggi, al fine di impedirne la pubblicazione.

 

FONTE: https://www.dirittoscolastico.it/responsabilita-del-dirigente-scolastico-per-violazione-della-privacy/

 

GDPR, contemperare obblighi di trasparenza, pubblicità e protezione dati: come adeguarsi

Come si conciliano trasparenza e pubblicità (della pubblica amministrazione, ma non solo) con la protezione dei dati personali? Quale effetto ha la piena applicazione del GDPR sul precedente quadro normativo? Ecco cosa c’è da sapere per ottenere la compliance al Regolamento UE 2016/679

 

Il quadro normativo precedente al GDPR

In Italia, la materia della protezione dei dati personali era regolamentata dal D.lgs. 196/2003 (cosiddetto Codice Privacy) e l’introduzione del D.lgs. n. 33/2013 in materia di trasparenza e pubblicità della pubblica amministrazione ha reso necessario l’intervento del Garante al fine di assicurare l’osservanza del Codice Privacy nell’adempimento degli obblighi di pubblicazione sul web.

Nell’ottica di un bilanciamento tra esigenze di pubblicità e trasparenza e rispetto dei principi sul trattamento dei dati personali il Garante privacy con il provvedimento n. 243 del 15/05/2014 ha rinnovato le “Linee Guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”. In particolare, tali Linee Guida hanno introdotto una serie di disposizioni per armonizzare il quadro regolamentare e hanno indicato modalità e accorgimenti che i soggetti pubblici sono tenuti ad applicare quando “diffondono” dati personali sui propri siti web istituzionali per finalità di trasparenza o per garantire altri obblighi di pubblicità degli atti amministrativi.

È necessario distinguere le disposizioni che regolano gli obblighi di pubblicità dell’azione amministrativa per finalità di trasparenza da quelle che regolano forme di pubblicità per finalità diverse (ad esempio, pubblicità legale, pubblicità integrativa dell’efficacia, pubblicità dichiarativa o notizia).

 

Lo stesso legislatore nazionale nel D.lgs. 33/2013 definisce “pubblicazione” l’inserimento nei siti istituzionali delle P.A. di documenti, informazioni e dati “concernenti l’organizzazione e l’attività delle pubbliche amministrazioni” (art. 2, comma 2); da ciò si deduce che tutte le volte in cui nel decreto è utilizzata la locuzione “pubblicazione obbligatoria ai sensi della normativa vigente” il riferimento è limitato alla pubblicazione che concerne l’organizzazione e l’attività delle P.A. Per tale motivo, tutte le ipotesi di pubblicità “non” riconducibili a finalità di trasparenza, qualora comportino una diffusione di dati personali, sono escluse dall’applicazione del D.lgs. 33/2013.

 

FONTE: https://www.cybersecurity360.it/legal/privacy-dati-personali/gdpr-contemperare-obblighi-di-trasparenza-pubblicita-e-protezione-dati-come-adeguarsi/