Con la newsletter numero 497 del 28 novembre 2022, il Garante Privacy ha dato notizia degli ultimi provvedimenti presi, tra cui la sanzione a Douglas Italia per le fidelity card, la sanzione alla ASL Valle d’Aosta per la mancata tutela dei dati contenuti del dossier sanitario e il parere sulla piattaforma concessioni di beni pubblici.
Fidelity card e conservazione dei dati personali. Il Garante ha sanzionato per 1 milione e 400 mila euro la catena di profumerie Douglas Italia Spa per violazioni in materia di protezione dei dati personali. L’app della società infatti raccoglie i dati personali dei clienti senza distinguere chiaramente i contenuti dell’informativa privacy da quella dei cookie. Il Garante ha quindi richiesto di indicare, in entrambi i testi, solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite. Ai clienti dovrà poi essere consentito di esprimere un consenso libero e specifico per le diverse attività marketing della società, marketing di soggetti terzi e profilazione . Durante gli accertamenti ispettivi svolti in collaborazione con il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, è emerso che Douglas conservava i dati di quasi 3milioni e 300mila clienti delle precedenti società incorporate, avendo necessità, come rappresentato a propria difesa, di doversi confrontare, per molti aspetti di protezione dei dati, con la capogruppo tedesca, che tende ad applicare regole standard a tutte le società del gruppo. La società italiana, tuttavia, una volta acquisiti i dati dalle aziende incorporate, li avevi lasciati per lungo tempo “inerti” e non si era preoccupata di richiedere alcun consenso al trattamento per le proprie attività. La società dovrà quindi cancellare tutti i dati risalenti a più di 10 anni e cancellare o pseudonimizzare quelli più recenti. In sede di rinnovo, i clienti potranno eventualmente esprimere il consenso alla società per il trattamento dei dati. Dossier sanitario, l’emergenza COVID non può prevalere sulla tutela della privacy. Il Garante ha sanzionato una ASL che durante il periodo di emergenza da COVID aveva rimosso le misure a tutela dei dati dei pazienti presenti nel dossier sanitario. A seguito del reclamo di un’operatrice sanitaria, l’Autorità ha accertato che l’ASL nel tentativo di semplificare la gestione dei pazienti durante la pandemia COVID-19, aveva disposto con un atto amministrativo la rimozione dei filtri privacy per l’accesso al sistema informativo che gestisce il dossier sanitario aziendale. Erano dunque accessibili i dossier di tutti gli assistiti della Regione a qualunque operatore sanitario, a prescindere dal fatto che l’interessato avesse espresso o meno il proprio consenso, oppure che la prestazione riguardasse un paziente COVID-19 o che l’autore dell’accesso avesse in cura l’interessato. Inoltre, nel derogare alle limitazioni relative all’accesso al dossier sanitario dettate dall’applicazione della disciplina sulla protezione dei dati personali, l’Asl non aveva neppure adottato misure organizzative e tecniche adeguate ad individuare accessi anomali al sistema informativo per esempio tramite indicatori sul numero degli accessi eseguiti, sulla tipologia o sull’ambito temporale degli stessi . Nel definire l’ammontare della sanzione 40mila euro , il Garante ha tenuto conto della gravità delle trasgressioni alle norme previste dal Gdpr e dalle Linee guida sul dossier sanitario, nonché della circostanza che le violazioni si sono protratte per oltre due anni ed abbiano coinvolto i dati sulla salute di tutta la popolazione regionale assistita, senza che i pazienti ne fossero informati. Piattaforma concessioni di beni pubblici. Il Garante per la protezione dei dati personali ha espresso parere favorevole alla bozza di decreto legislativo che istituisce il nuovo sistema informativo di rilevazione delle concessioni di beni pubblici, il c.d. SICONBEP. Si tratta di una piattaforma telematica che servirà a garantire la massima trasparenza su tutti i rapporti concessori. Al fine di bilanciare correttamente il diritto alla protezione dei dati personali e le esigenze di trasparenza, il Garante ha chiesto di introdurre maggiori garanzie nel testo definitivo. Dovranno, ad esempio, essere indicate le informazioni da acquisire e pubblicare sul sistema informativo, evitando indicazioni generiche come quelle “minime”. Dovrà inoltre essere esclusa la pubblicazione di dati dai quali si possano evincere lo stato di salute o la situazione di disagio economico-sociale degli interessati, inclusi i concessionari. Particolare attenzione dovrà essere prestata alla definizione delle specifiche tecniche, delle modalità e della tempistica per l’invio dei dati al sistema informativo, eventualmente anche tramite un apposito decreto non regolamentare.