La Bioacustica: Ascoltare l’Amazzonia per Proteggerla
Maggio 22, 2024
Intelligenza Artificiale e Imprese: Un Ponte tra Innovazione e Etica
Giugno 4, 2024
La protezione dei dati personali è diventata un tema di crescente rilevanza, soprattutto con l’evoluzione tecnologica e l’integrazione di sistemi avanzati come il riconoscimento facciale. Recentemente, il Garante per la protezione dei dati personali con la newsletter n. 520 del 28 marzo 2024 ha preso posizioni nette su vari aspetti della privacy, con particolare attenzione al trattamento dei dati biometrici in ambito lavorativo e ai dati personali nel settore dei trasporti pubblici e sanitario.
Riconoscimento facciale sul lavoro: violazione della privacy
Il Garante per la protezione dei dati personali ha ribadito il divieto dell’uso del riconoscimento facciale per il controllo delle presenze sul posto di lavoro, sanzionando cinque società per il trattamento illecito di dati biometrici di numerosi dipendenti. Queste società, tutte operanti in un sito di smaltimento dei rifiuti, hanno ricevuto sanzioni per un totale di oltre 100.000 euro. Secondo il Garante, tale sistema violava il Regolamento Generale sulla Protezione dei Dati (GDPR) poiché non esiste una base giuridica adeguata per tale trattamento in ambito lavorativo. Le violazioni accertate riguardano la mancanza di misure tecniche e di sicurezza adeguate e la condivisione del sistema di rilevazione biometrica tra diverse aziende senza adeguate garanzie.
L’uso del riconoscimento facciale per monitorare la presenza dei lavoratori non è attualmente supportato da normative che ne consentano l’applicazione. Secondo il Garante, i sistemi di riconoscimento facciale comportano rischi significativi per i diritti dei lavoratori, e le aziende coinvolte avrebbero dovuto adottare sistemi meno invasivi come i badge tradizionali.
Sicurezza dei dati degli abbonati ai trasporti pubblici
Anche nel settore dei trasporti pubblici, la protezione dei dati personali degli utenti è stata oggetto di attenzione del Garante. Un’azienda di trasporto dell’Emilia Romagna è stata sanzionata con una multa di 50.000 euro per aver raccolto consensi di marketing non validi tramite un modulo di sottoscrizione degli abbonamenti che non rispettava la normativa sulla protezione dei dati.
L’indagine ha rivelato che l’informativa resa ai passeggeri al momento della sottoscrizione era carente di molti elementi essenziali, impedendo così un consenso libero e informato. Inoltre, il modulo non consentiva di distinguere tra dati obbligatori e facoltativi, né segnalava chiaramente il diritto di opporsi al trattamento per finalità di marketing diretto. Come conseguenza, l’azienda è stata obbligata a rivedere le proprie informative e le politiche interne relative alla conservazione dei dati, rendendo disponibile una nuova informativa conforme al Regolamento UE.
Linee guida per siti e app di contatto tra medico e paziente
L’uso crescente di piattaforme digitali per mettere in contatto pazienti e professionisti sanitari ha portato il Garante a pubblicare un documento con 10 punti chiave per la corretta gestione dei dati personali in questo ambito. Queste linee guida sono particolarmente rilevanti per società stabilite sia in Europa che in Paesi terzi, che trattano dati personali e sanitari per vari scopi.
Il documento distingue tra tre macro tipologie di trattamenti: a) Dati anagrafici dei pazienti (necessari per fornire servizi amministrativi correlati alla prestazione sanitaria richiesta, come la creazione di account e la prenotazione di visite mediche), b) Dati dei professionisti sanitari (utilizzati per scopi diversi, come la gestione dell’agenda del medico e le recensioni degli utenti), e c) Dati sulla salute dei pazienti (trattati per finalità di diagnosi e cura, come la condivisione di prescrizioni o referti).
Per ciascuna di queste categorie, il compendio del Garante identifica le basi giuridiche, i ruoli e le responsabilità, e ricorda l’importanza di adottare misure di sicurezza tecniche e organizzative adeguate. Un aspetto cruciale sottolineato è la necessità di svolgere una valutazione di impatto preventiva sul trattamento dei dati, soprattutto quando questo presenta un rischio elevato per i diritti e le libertà delle persone.
L’archivio digitale delle intercettazioni: un passo verso la centralizzazione
Infine, il Garante ha espresso parere favorevole riguardo allo schema di decreto del Ministero della Giustizia per l’attivazione dell’archivio digitale delle intercettazioni (ADI). Questo archivio, gestito sotto la direzione del Procuratore della Repubblica, custodirà verbali, atti e registrazioni delle intercettazioni disposte dalle singole procure.
Il Garante ha chiesto al Ministero di chiarire il ruolo di titolare del trattamento dei dati svolto dalle Procure della Repubblica, per evitare possibili dubbi interpretativi e agevolare l’esercizio dei diritti da parte degli interessati. Questo decreto rappresenta la conclusione di un percorso iniziato con l’istituzione delle infrastrutture digitali centralizzate per le intercettazioni e la definizione dei requisiti tecnici per la gestione dei dati.
Conclusioni
La protezione dei dati personali è un tema di crescente importanza in vari settori, dal lavoro ai trasporti, fino ai servizi sanitari. Le recenti attività del Garante per la protezione dei dati personali evidenziano la necessità di conformarsi alle normative vigenti per garantire la privacy e la sicurezza dei dati. Le sanzioni inflitte e le linee guida emanate servono come monito e orientamento per tutte le aziende e le istituzioni coinvolte nella gestione di dati personali e sensibili.
Riferimenti
[Garante per la protezione dei dati personali, Newsletter n. 520, 28 marzo 2024]
[Garante per la protezione dei dati personali, Provvedimenti n. 9995680, 9995701, 9995741, 9995762, 9995785, 9995808, 2024]
[R. Smeria per Diritto al Digitale, Il Garante Privacy prende una posizione netta in relazione al trattamento dei dati biometrici, 2024]
AR – Riproduzione riservata ©
