Oblio oncologico, AI e noleggio auto questi i temi affrontati dalla NL del Garante Privacy pubblicata il 9 agosto 2024, numero 526.
Le FAQ sull’oblio oncologico legge numero 193/2023 il Garante risponde Rispondendo a molteplici domande per esempio le banche, le assicurazioni e i datori di lavoro possono chiedere informazioni su una patologia oncologica conclusa da diversi anni? Una persona clinicamente guarita può adottare un bambino? Ecc. , l’Autorità ha l’obiettivo di prevenire le discriminazioni e tutelare i diritti delle persone che sono guarite da malattie oncologiche, con il fine di applicare correttamente la nuova normativa. Nelle FAQ in questione consultabili sul sito www.gpdp.it viene spiegato che «il compito di vigilanza sulla corretta applicazione della legge è affidato al Garante Privacy, il quale in caso di eventuali violazioni della disciplina sulla protezione dei dati potrà infliggere le sanzioni previste dal GDPR» e viene chiarito che «la normativa vieta a banche, assicurazioni, e a tutti i datori di lavoro sia nella fase di selezione del personale sia durante il rapporto lavorativo , di richiedere all’utente e al dipendente informazioni su una patologia oncologica da cui sia stato precedentemente affetto e il cui trattamento si sia concluso - senza episodi di recidiva – da più di dieci anni ridotti a cinque se il soggetto aveva meno di 21 anni al momento in cui è insorta la malattia ». La legge stabilisce anche particolari tutele per le coppie che presentano domanda di adozione al Tribunale per i minorenni. Il Tribunale, nella selezione delle coppie, «non può raccogliere informazioni sulle patologie oncologiche pregresse quando siano trascorsi più di dieci anni dalla conclusione del trattamento della patologia - in assenza di recidive o ricadute - o più di cinque anni se la patologia si è manifestata prima del compimento del 21esimo anno di età». La regola vale anche in caso di adozione di minori stranieri. AI il sì del Garante al ddl numero 2024/1689 Il disegno di legge in questione disciplina ricerca, sperimentazione, sviluppo, adozione e applicazione dei sistemi e modelli di Intelligenza Artificiale nei diversi settori della società sanità, giustizia, lavoro e professioni, sicurezza e difesa nazionale, etc. . Nel dare il proprio parere favorevole al provvedimento, il Garante ha tuttavia chiesto al Governo di integrarlo in più parti per garantire una maggiore tutela dei dati personali dei cittadini», introducendo «un nuovo articolo per precisare che i trattamenti di dati personali effettuati attraverso i sistemi di intelligenza artificiale devono rispettare la normativa privacy nazionale ed europea» integrarlo con uno specifico riferimento a sistemi adeguati di verifica dell’età c.d. age verification «in grado di garantire limitazioni o divieti all’uso dei sistemi di IA da parte dei minori». indicare particolari limitazioni «per l’utilizzo dei dati conservazione, divieto di trasmissione, trasferimento o comunicazione e la preferenza per l’uso di dati sintetici o anonimi». indicare quale Autorità competente per i sistemi di Intelligenza Artificiale ad alto rischio utilizzati ad es. per le attività di law enforcement, identificazione biometrica remota, riconoscimento delle emozioni, gestione delle frontiere, amministrazione della giustizia e processi democratici. Noleggio auto sanzionate una banca e una società di leasing In seguito al reclamo di una cliente che lamentava il mancato riscontro alla sua richiesta di conoscere le motivazioni alla base del diniego del noleggio a lungo termine di un’auto e dell’inserimento del proprio nominativo nella lista dei cattivi pagatori, il Garante Privacy ha sanzionato per ben un milione di euro Credit Agricole Auto Bank per trattamento illecito di dati personali e reddituali di clienti che richiedevano il finanziamento per il noleggio a lungo termine di una autovettura. La banca “incriminata” accedeva al database Scipafi Sistema centralizzato di prevenzione delle frodi - anche per conto della controllata Drivalia, società di leasing auto - «pur essendo consapevole di non avere la necessaria autorizzazione del Ministero dell’Economia e delle Finanze per effettuare tali accessi. Auto Bank giustificava le verifiche al fine di prevenire truffe, insolvenze, o altri eventi simili. Nel corso della complessa attività istruttoria, l’Autorità ha accertato che la Banca non aveva l’autorizzazione del MEF per poter consultare il database Scipafi per conto di Drivalia. È quindi intervenuto anche nei confronti di quest’ultima irrogando una sanzione di 250mila euro sempre per trattamento illecito di dati personali Entro il termine stabilito, CA Auto Bank e Drivalia si sono avvalse della possibilità di estinguere il procedimento mediante il pagamento in misura ridotta di un importo pari alla metà della sanzione comminata.