Dal Garante Privacy l’ok alle nuove funzioni di Immuni e sanzioni per il MISE e la Regione Lazio

Il Garante Privacy si è espresso sugli aggiornamenti del Sistema di allerta COVID-19 previsto dall’app Immuni autorizzando il Ministero della Salute ad attivare una nuova funzionalità. Lo si legge nella Newsletter n. 474 di oggi, dalla quale si apprende inoltre che l’Autorità ha sanzionato il MISE per il ritardo nella nomina del Responsabile della protezione dati. È stata sanzionata anche la Regione Lazio per non aver designato, in questo caso, responsabile del trattamento la cooperativa che gestiva il call center del CUP.

Nuove funzionalità per Immuni. Esprimendosi sugli aggiornamenti del sistema di allerta COVID-19, il Garante ha autorizzato il Ministero della Salute ad attivare nuove funzionalità dell’app Immuni. Con la nuova funzionalità, la persona positiva potrà interagire direttamente con il Sistema di allerta inserendo nell’apposita sezione dell’app il codice univoco nazionale attribuito dal Sistema Tessera Sanitaria al proprio referto, insieme alle ultime 8 cifre della tessera sanitaria. Il Sistema di allerta COVID-19, dopo aver verificato i dati forniti, provvederà ad abilitare il caricamento delle chiavi temporanee c.d. Tek generate dallo smartphone dell’utente risultato positivo, necessarie ad allertare i suoi contatti stretti. Una volta effettuato con successo il caricamento delle Tek, il Sistema di allerta COVID-19 invaliderà il codice Cun, così da impedirne ulteriori utilizzi. Il Garante ha ritenuto tale versione in linea con le indicazioni fornite nel corso di interlocuzioni informali avuto con i Ministeri. In particolare, l’Autorità ha voluto concentrare l’attenzione sulle misure adottate a tutela della sicurezza del sistema e alla semplificazione dell’utilizzo dell’app da parte degli utenti, rendendo più efficace l’invio delle notifiche di esposizione al rischio di contagio ai loro contatti stretti. Sanzioni per il MISE. Il Garante ha sanzionato il MISE per aver ritardato la nomina del Responsabile della protezione dati prevista entro il 28 maggio 2018, data di piena applicazione del GDPR e per aver diffuso sul sito web istituzionale informazione personali di migliaia di manager . Come si legge nella Newsletter per la prima volta l’Autorità ha sanzionato una Pa per non avere designato il Rdp entro il termine stabilito ed avere provveduto alla nomina e alla comunicazione al Garante dei dati di contatto con notevole ritardo. Ciò nonostante il Garante avesse, fin dal maggio 2017, avviato una articolata attività informativa rivolta a tutti i Ministeri, indicando proprio la nomina del Rpd tra le priorità da tenere in considerazione nel percorso di adeguamento al nuovo quadro giuridico del Regolamento . Quanto alla diffusione dei dati dei manager il Garante ha sottolineato l’illiceità del trattamento e ha chiarito che la pubblicazione integrale dei curricula, senza alcun filtro, rappresenta un trattamento di dati sproporzionato , non in linea con i principi del GDPR . Sanzionata anche la Regione Lazio. Nella Newsletter si legge inoltre del provvedimento sanzionatorio adottato nei confronti della Regione Lazio per non aver nominato responsabile del trattamento dati la Società Cooperativa Capodarco, a cui l’Ente aveva affidato la gestione delle prenotazioni delle prestazioni sanitarie, attraverso il call center regionale ReCUP . Il Garante ha ribadito che le società che prestano servizi per conto del titolare e che di conseguenza trattano i dati personali degli utenti, devono essere designate responsabili del trattamento. Il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, prevede nel dettaglio le regole e i limiti con cui devono essere trattati i dati personali. Il responsabile è, pertanto, legittimato a trattare i dati degli interessati soltanto su istruzione documentata del titolare” .