Telemarketing, certificati per l'assenza dal lavoro, accesso ai dati personali della cartella clinica, attacchi hacker questi i temi affrontati dal Garante Privacy nella newsletter del 23 dicembre 2024, numero 530.
Telemarketing Il Garante Privacy, continuando la sua azione contro il telemarketing selvaggio, ha inflitto una pesante sanzione ad una società fornitrice di luce e gas per trattamento illecito di dati personali a fini promozionali, in seguito ai numerosi reclami relativi a telefonate indesiderate dal call center. Tra le criticità riscontrate dall'Autorità vi sono la mancanza di base giuridica per le chiamate promozionali, la scarsa vigilanza lungo la filiera e il ritardo nell'implementazione di adeguate misure tecniche. Il Garante, oltre alla sanzione parametrata alla gravità delle violazioni, al fatturato aziendale ed al coinvolgimento di numerose agenzie su tutto il territorio nazionale, ha richiesto alla società di effettuare adeguati controlli sulle attività promozionali svolte da agenzie esterne e adottare idonee misure tecniche e organizzative. Certificati per l'assenza dal lavoro Il Garante ha ricordato che le certificazioni che attestano la presenza in Ospedale, per giustificare un'assenza dal lavoro o l'impossibilità di partecipare ad un concorso, non devono riportare alcuna indicazione della struttura presso cui è stata effettuata la prestazione sanitaria, il timbro con la specializzazione del medico o altre informazioni che possano far risalire allo stato di salute. A tal proposito, l'Autorità, a seguito del reclamo di una paziente che aveva richiesto un certificato per giustificare l'assenza dal lavoro, ha sanzionato un' azienda sanitaria in quanto la certificazione rilasciata riportava l'indicazione del reparto che aveva erogato la prestazione sanitaria, violando gli obblighi in materia di sicurezza e il principio di minimizzazione dei dati personali. Per il Garante, vi è stata anche la violazione del principio di privacy by design in quanto l'azienda ha omesso di mettere in atto, in fase di progettazione, misure tecniche ed organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a tutelare i diritti degli interessati. Si sottolinea, infine, che il Garante Privacy, nella definizione della multa, ha considerato anche il fatto che l'Azienda Sanitaria non ha fornito riscontro alla sua richiesta di informazioni, commettendo un'ulteriore violazione del Codice. Faq per l'accesso ai dati personali della cartella clinica Il Garante Privacy, dopo diversi reclami di utenti che lamentavano il mancato rilascio gratuito da parte di strutture sanitarie della prima copia cartacea della propria cartella clinica, ha individuato alcune Faq in materia. Nelle Faq l'Autorità ha chiarito che la struttura sanitaria, titolare del trattamento, a seguito di una istanza presentata ai sensi dell'articolo 15 del Regolamento, è tenuta a fornire al richiedente copia dei dati personali oggetto del trattamento. La prima copia di tali dati è rilasciata gratuitamente. Per il Garante, la struttura sanitaria, a seconda dei casi, può fornire copia di una parte della documentazione contenuta nella cartella clinica o copia integrale della stessa quando ciò sia necessario per consentirgli di verificare l'esattezza, la completezza e l'intelligibilità delle informazioni richieste, come stabilito dalla sentenza CGUE 307/22. Infine, l'Autorità ha ricordato ai titolari del trattamento che, in caso di ricezione di istanze generiche di accesso, le Linee guida della Commissione Europea sulla Protezione dei dati raccomandano di chiedere agli interessati di specificare l'oggetto della richiesta dati personali o documentazione . Attacco hacker a causa di software obsoleti e alert inadeguati L'Autorità ha multato un'azienda ospedaliero -universitaria che aveva subito un attacco hacker ai sistemi informativi nel dicembre 2022, comportando la perdita di riservatezza, integrità e disponibilità dei dati personali di un numero elevato di interessati. Dalla documentazione trasmessa dall'ispezione effettuata dal Garante sono emerse alcune carenze relative agli obblighi di sicurezza previsti dal Regolamento europeo, dovute all'adozione di sistemi non aggiornati e a misure inadeguate a rilevare tempestivamente le violazioni di dati e a garantire la sicurezza delle reti informatiche. Nello specifico, l'utilizzo di software obsoleti, per cui non erano più previsti aggiornamenti di sicurezza e di alert non a copertura h24 hanno favorito il verificarsi dell'attacco hacker. Il Garante ha, inoltre, accertato ulteriori omissioni riguardanti le misure di sicurezza, come l'assenza di un sistema per segmentare e segregare le reti delle postazioni dei dipendenti, nonché i server per i trattamenti per evitare una propagazione di virus.