violazione privacy
18 Nov
Civile, Civile - Primo piano

Violazione privacy per errore “umano”, nessuna sanzione Il Garante Privacy esclude la sanzione per violazione della privacy se l’errore è accidentale, lieve e privo di dolo

Violazione privacy accidentale

Violazione privacy accidentale: il Garante ha deciso di non imporre sanzioni in un caso di violazioni dovute a un errore accidentale, “umano”, e privo di dolo. La decisione è stata presa nel provvedimento n. 441/2024, che ha escluso misure correttive nei confronti di una società di autonoleggio.

La vicenda

L’incidente riguarda due turisti norvegesi che, durante una vacanza in Italia, si sono trovati a ricevere erroneamente una multa per infrazione al codice della strada e un sollecito di pagamento per pedaggi, entrambi emessi da una società di recupero crediti.

I due turisti non erano coinvolti in nessuno dei fatti contestati e, peraltro, non si trovavano nemmeno in Italia al momento dell’infrazione.

L’errore umano e la rettifica tempestiva

Il Garante ha riscontrato che la causa della violazione fosse da attribuire a un errore umano, verificatosi in modo occasionale durante la fase di data entry. Dopo l’accaduto, la società di autonoleggio ha provveduto immediatamente a correggere i dati errati, facendo annullare le contravvenzioni per violazione del codice della strada e aggiornando le proprie misure tecniche e organizzative per prevenire il ripetersi di simili errori.

Violazione privacy, nessuna sanzione

Alla luce di quanto accaduto, il Garante della privacy ha deciso di non intraprendere alcuna azione correttiva nei confronti del titolare del trattamento dei dati, come previsto dall’art. 58, comma 2, del Regolamento Generale sulla Protezione dei Dati (RGPD). Invece di applicare sanzioni, l’autorità ha adottato una decisione ai sensi dell’art. 60, comma 7, del RGPD per chiudere il procedimento. Tuttavia, ha esortato la società a compiere una verifica costante dell’adeguatezza delle misure tecniche e amministrative relative al trattamento dei dati, inclusa una corretta formazione del personale, per evitare errori simili in futuro.

codice condotta telemarketing
09 Ott
Civile

Telemarketing: al via il Codice di condotta Codice di condotta in materia di telemarketing in vigore dal 28 settembre 2024: stop alle chiamate incontrollate

Codice di condotta telemarketing in vigore

Telemarketiing e teleselling: in vigore a tutti gli effetti il Codice di condotta che regola le attività. Il Codice, che ha l’obiettivo di tutelare gli utenti dalle chiamate indesiderate, è stato approvato dal Garante Privacy il 7 marzo 2024 e, con l’accreditamento dell’Organismo di monitoraggio (OdM) è stato completato l’iter per la sua piena applicazione. La delibera di approvazione e l’accreditamento dell’Odm sono stati pubblicati sulla Gazzetta ufficiale n. 73 del 27 marzo 2024.

L’articolo 19, al comma 4 dispone che “Il Codice di  condotta  eventualmente  rivisto  ai  sensi  del precedente comma entrerà in vigore, previo accreditamento  dell’OdM, ai sensi dell’art. 41 del regolamento, quindici giorni  dopo  la  sua pubblicazione nella Gazzetta ufficiale della Repubblica italiana”.

Misure specifiche di applicazione in vigore dal 28 settembre 2024

Il comma 5 invece dispone che “Le misure necessarie per l’applicazione del presente Codice di condotta sono adottate dai soggetti aderenti entro il termine di sei mesi dall’entrata in vigore del Codice di condotta”.

Trattasi nello specifico delle misure che devono garantire la correttezza e la legittimità del trattamento dei dati lungo tutta la “filiera” del telemarketing.

Tali misure, entrate in vigore il 28 settembre 2024, consistono nella raccolta di consensi specifici per le singole finalità (marketing, profilazione, ecc.) e nell’obbligo di informare in maniera precisa le persone contattate sull’uso dei loro dati, assicurando il pieno esercizio dei diritti previsti dalla normativa privacy (opposizione al trattamento, rettifica o aggiornamento dei dati).

Vediamo quali sono le regole del Codice, che non valgono per gli operatori che utilizzano il telefono per verificare la soddisfazione della clientela o che svolgono attività promozionali tramite sms o applicazioni.

Orari fissi per le chiamate

Il Codice di condotta vieta le chiamate nei giorni festivi e la domenica. Gli operatori possono contattare gli utenti solo in due fasce orarie distinte:

  • dal lunedì al venerdì dalle ore 9.00 alle ore 20.00;
  • nei giorni prefestivi e il sabato dalle ore 10.00 alle ore 19.00.

Il Codice consente una tolleranza massima di 15 minuti rispetto agli orari indicati. La telefonata senza risposta o non effettuata perché l’utente è occupato è considerata come non effettuata.

Divieto di telefonate anonime e consenso

Gli operatori non possono effettuare telefonate che non consentono all’utente di identificare il numero dal quale viene effettuata la chiamata. I numeri devono essere visibili sul telefono e l’utente deve avere la possibilità di richiamare. Chi effettua la chiamata inoltre deve identificarsi in modo chiaro e ottenere il consenso specifico alla chiamata avente finalità promozionali.

Il consenso per finalità di telemarketing è valido ai sensi dell’art. 12 del Codice di condotta se informato, libero, specifico, inequivocabile e documentabile.

Script conforme al Codice di Condotta

Il committente deve mettere a disposizione del  call center, con modalità documentate e verificabili, uno script conforme al Codice di condotta e applicabile a ogni campagna di telemarketing o teleselling. Lo script deve contenere le istruzioni che gli operatori devono seguire e rispettare nel contare gli utenti. Il committente deve fornire inoltre il testo dell’informativa relativa al trattamento dei dati personali, anch’essa conforme al Codice di condotta, da sottoporre ai soggetti interessati.

Sanzioni per chi viola le regole

Di estremo interesse infine l’articolo 16 dedicato al controllo dell’origine del contratto con l’affidatario. L’accordo deve prevede un meccanismo sanzionatorio, che preveda l’applicazione di una penale, il mancato riconoscimento della provvigione o l’annullamento della stessa, se il contratto viene stipulato in mancanza di un contatto legittimo.

Le penali devono essere parametrate rispetto elle provvigioni e alla percentuale dei contratti sottoposti a controllo, per assolvere alle finalità dissuasive da perseguire. A tale fine si può stabilire ad esempio che la penale sia pari al triplo della provvigione prevista per ogni contratto e non richiesta oppure richiesta in ripetizione per ogni contratto.

 

Vedi le altre notizie di civile

smishing
02 Set
Penale, Penale - Primo piano

Smishing: cos’è e come difendersi Cos'è e come funziona lo smishing e i suggerimenti del Garante per proteggersi da questa forma di phishing che sfrutta sms e messaggistica

Smishing: cos’è

Lo Smishing (o phishing tramite SMS) è una forma di truffa che utilizza messaggi di testo e sistemi di messaggistica (compresi quelli delle piattaforme social media) per appropriarsi di dati personali a fini illeciti (ad esempio, per poi sottrarre denaro da conti e carte di credito). Il Garante privacy ha dedicato una scheda informativa per proteggersi da questa forma di phishing.

Come funziona

In genere i messaggi di smishing invitano i destinatari a compiere azioni (cliccare link, ecc.) o fornire informazioni con urgenza, per non rischiare danni (es: blocco di utenze, blocco della carta di credito o del conto) o sanzioni.

I truffatori (“smisher”), spiega il Garante, “inviano messaggi per chiedere ad esempio alle vittime di:

  • cliccare un link che conduce ad un form online in cui inserire dati personali, dati bancari o della carta di credito, ecc.. Il link da cliccare può anche essere utilizzato per installare sullo smartphone della vittima programmi malevoli capaci di carpire dati personali conservati sul dispositivo o addirittura in grado di accedere alle app e ai programmi con cui si gestiscono Internet banking, carte di credito, ecc.;
  • scaricare un allegato che può contenere programmi malevoli capaci di prendere il controllo dello smartphone o accedere ai dati in esso contenuti;
  • rispondere ai messaggi ricevuti inviando dati personali (il codice fiscale, il PIN del Bancomat o quello utilizzato per l’Internet banking, il numero della carta, il codice di sicurezza della carta, i dati dell’OTP cioè della password temporanea per eseguire operazioni sul conto bancario e sulla carta di credito, ecc.);
  • chiamare un numero di telefono, dove poi un finto operatore o un sistema automatizzato chiedono di fornire informazioni di vario tipo, compresi dati bancari e/o della carta di credito”.

Perchè lo smishing è pericoloso

Gli smisher fanno leva sul timore legato ad un rischio incombente per convincere le vittime ad abbassare il livello di prudenza e a reagire d’impulso. Per questo, invita l’authority, è bene “diffidare dei messaggi che hanno toni ultimativi e intimidatori o che spingono ad agire con fretta e urgenza. Ad es. il messaggio di una banca che segnala un account compromesso da verificare con urgenza; offerte di sconti straordinari da usufruire subito; amministrazioni pubbliche che segnalano la richiesta di dati, sanzioni da pagare, o anomalie da verificare, ecc.

Come difendersi dallo smishing

Il Garante invita a “non comunicare mai dati e informazioni personali o dati come codici di accesso, PIN, password, dati bancari e della carta di credito a sconosciuti” ricordando, in ogni caso, “che istituzioni e banche non richiedono di fornire dati personali tramite SMS o messaggistica istantanea, specie se si tratta di informazioni come PIN, password, codici di autorizzazione, ecc., che, di solito, loro stessi ci invitano a mantenere strettamente riservate”.

In generale, meglio non conservare le credenziali (password, PIN, codici) di dati bancari o della carta di credito sullo smartphone. In caso di intrusioni informatiche sul dispositivo (tramite malware, ad esempio), questi dati potrebbero infatti essere facilmente sottratti.

Per proteggere i conti bancari e carte di credito, inoltre, “è bene controllare spesso le movimentazioni ed eventualmente attivare sistemi di alert automatico che avvisano l’utente di ogni operazione effettuata”.

Se si ricevono messaggi da sconosciuti, “non cliccare sui link in essi contenuti e non aprire eventuali allegati: potrebbero contenere virus o programmi capaci di prendere il controllo di computer e smartphone. Stessa accortezza con i messaggi che provengono da numerazioni anomale o particolari (ad esempio: numeri con poche cifre), oppure da utenze identificate da un nome con il numero nascosto. In questi casi è sempre bene fermarsi a riflettere, prestando la massima attenzione al contenuto e al mittente del messaggio”. Infine, se si ricevono messaggi che invitano a richiamare determinati numeri di aziende o istituzioni, controllare SEMPRE prima se tali numeri corrispondono a quelli ufficiali (ad esempio consultando i siti web istituzionali). Per estrema sicurezza, invece di contattare i numeri ricevuti, ci si può rivolgere al centralino o all’URP dell’azienda o dell’istituzione chiendendo di farsi mettere in contatto con l’ufficio che dovrebbe aver inviato il messaggio”.

Cosa fare

Ad ogni modo, chi ha il dubbio di essere vittima di smishing è consigliabile che contatti “immediatamente la banca o il gestore della carta di credito attraverso canali di comunicazione conosciuti e affidabili per segnalare l’accaduto e, in caso di sottrazione di denaro, richiedere il blocco delle transazioni. In questa seconda ipotesi, si può anche segnalare la truffa subita alle autorità di polizia“.

trattamento dati sanitari
29 Ago
Civile

Trattamento dati sanitari: le regole del Garante Il Garante ha promosso l'adozione di nuove regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica, pubblicate in GU il 5 giugno 2024

Regole deontologiche trattamento dati sanitari

Sul trattamento dei dati sanitari per fini statistici o di ricerca, il Garante Privacy ha predisposto delle regole deontologiche pubblicate in Gazzetta Ufficiale il 5 giugno scorso.

Le regole muovono dalla recente riforma dell’articolo 110 del Codice privacy, a seguito della quale il Garante Privacy ha individuato le prime garanzie da adottare per il trattamento dei dati personali a scopo di ricerca medica, biomedica e epidemiologica, riferiti a pazienti deceduti o non contattabili.

La modifica dell’art. 110 Codice Privacy

Con la modifica dell’art. 110, infatti, chi effettua attività di ricerca medica – quando risulta impossibile informare gli interessati o l’obbligo implica uno sforzo sproporzionato, oppure rischia di pregiudicare gravemente i risultati dello studio – non deve più sottoporre il progetto di ricerca e la relativa valutazione di impatto alla consultazione preventiva, essendo sufficiente rispettare le specifiche garanzie previste dal Garante.

L’Autorità ha infatti stabilito che in tutti questi casi i titolari del trattamento – oltre ad acquisire, come già previsto, il parere favorevole del competente Comitato etico a livello territoriale sul progetto di ricerca – dovranno motivare e documentare le ragioni etiche o organizzative in base alle quali non hanno potuto acquisire il consenso dei pazienti nonché, effettuare e pubblicare la valutazione di impatto, dandone comunicazione al Garante.

Con lo stesso provvedimento l’Autorità, alla luce della riforma normativa e considerato il rilevante impatto delle nuove tecnologie nelle modalità di realizzazione dell’attività di ricerca, ha promosso l’adozione delle nuove regole deontologiche per trattamenti a fini statistici o di ricerca scientifica.

Le faq del Garante

Sullo stesso tema il Garante ha fornito chiarimenti sul trattamento dei dati da parte degli IRCCS, ossia “quegli enti del Servizio sanitario nazionale che, secondo standard di eccellenza, perseguono finalità di ricerca nel campo biomedico e in quello dell’organizzazione e gestione dei servizi sanitari ed effettuano prestazioni di ricovero e cura di alta specialità”, pubblicando apposite faq sul proprio sito.

oblio oncologico
22 Ago
Civile, Civile - Primo piano

Oblio oncologico: le faq del Garante Oblio oncologico: dal Garante Privacy informazioni utili e indicazioni per cittadini e imprese sul diritto introdotto dalla legge n. 193/2023

Oblio oncologico, cos’è

Che cos’è il diritto all’oblio oncologico? Le banche, le assicurazioni e i datori di lavoro possono chiedere informazioni su una patologia oncologica conclusa da diversi anni? Una persona clinicamente guarita può adottare un bambino? A queste e ad altre domande rispondono le FAQ pubblicate dal Garante per la protezione dei dati personali.

Le faq del Garante

L’obiettivo è quello di prevenire le discriminazioni e tutelare i diritti delle persone che sono guarite da malattie oncologiche.

Il documento, pubblicato nella newsletter del 9 agosto 2024, oltre a fornire chiarimenti ai cittadini sul diritto all’oblio oncologico (legge n. 193/2023) dà indicazioni utili a tutti i datori di lavoro pubblici e privati e a banche, assicurazioni, intermediari del credito e finanziari affinché possano applicare correttamente la nuova normativa.

Le FAQ sull’oblio oncologico insieme ad un’utile scheda in materia sono consultabili sul sito internet del Garante privacy.

Cosa stabilisce la legge sull’oblio oncologico

Nelle FAQ viene spiegato che il compito di vigilanza sulla corretta applicazione della legge è affidato al Garante Privacy, il quale in caso di eventuali violazioni della disciplina sulla protezione dei dati potrà infliggere le sanzioni previste dal Gdpr.

Inoltre viene chiarito che la normativa vieta a banche, assicurazioni, e a tutti i datori di lavoro (sia nella fase di selezione del personale sia durante il rapporto lavorativo), di richiedere all’utente e al dipendente informazioni su una patologia oncologica da cui sia stato precedentemente affetto e il cui trattamento si sia concluso – senza episodi di recidiva – da più di dieci anni (ridotti a cinque se il soggetto aveva meno di 21 anni al momento in cui è insorta la malattia).

La legge stabilisce anche particolari tutele per le coppie che presentano domanda di adozione al Tribunale per i minorenni. Il Tribunale, nella selezione delle coppie, non può raccogliere informazioni sulle patologie oncologiche pregresse quando siano trascorsi più di dieci anni dalla conclusione del trattamento della patologia – in assenza di recidive o ricadute – o più di cinque anni se la patologia si è manifestata prima del compimento del 21esimo anno di età.

La regola vale anche in caso di adozione di minori stranieri.

 

Leggi anche Articolo di stampa e diritto all’oblio

ddl intelligenza artificiale
14 Ago
Civile, Civile - Primo piano

Ddl Intelligenza artificiale: parere favorevole del Garante Il Garante Privacy ha dato parere favorevole al ddl intelligenza artificiale chiedendo però ulteriori misure a protezione dei dati personali

Ddl Intelligenza artificiale, sì ma con le dovute cautele

Ddl Intelligenza artificiale: parere favorevole del Garante Privacy sullo schema di disegno di legge governativo sull’IA, recante anche delega legislativa per l’adeguamento al Regolamento Ue sull’Intelligenza Artificiale (n.2024/1689 – AI Act).

Leggi l’articolo sul ddl varato dal Governo

Il disegno di legge disciplina ricerca, sperimentazione, sviluppo, adozione e applicazione dei sistemi e modelli di Intelligenza Artificiale (IA) nei diversi settori della società (sanità, giustizia, lavoro e professioni, sicurezza e difesa nazionale, etc.).

Maggiore tutela dei dati personali

Nel dare il proprio parere favorevole al testo, il Garante ha tuttavia chiesto al Governo di integrarlo in più parti per garantire una maggiore tutela dei dati personali dei cittadini.

In particolare l’Autorità ha chiesto di introdurre un nuovo articolo per precisare che i trattamenti di dati personali effettuati attraverso i sistemi di intelligenza artificiale devono rispettare la normativa privacy nazionale ed europea.

Age verification

Il testo, inoltre, dovrà essere integrato con uno specifico riferimento a sistemi adeguati di verifica dell’età (c.d. age verification) in grado di garantire limitazioni o divieti all’uso dei sistemi di IA da parte dei minori.

Nel caso poi di utilizzo di sistemi di IA in ambito sanitario ad alto rischio, il Garante ha chiesto di indicare particolari limitazioni per l’utilizzo dei dati (conservazione, divieto di trasmissione, trasferimento o comunicazione) e la preferenza per l’uso di dati sintetici o anonimi.

Autorità competente

È stato inoltre richiesto di indicare il Garante – come previsto nell’AI Act – quale Autorità competente per i sistemi di Intelligenza Artificiale ad alto rischio utilizzati ad es. per le attività di law enforcement, identificazione biometrica remota, riconoscimento delle emozioni, gestione delle frontiere, amministrazione della giustizia e processi democratici.

revenge porn
12 Ago
Codice Rosso, Codice Rosso - Primo piano, Penale

Revenge porn: come fare una segnalazione Revenge porn: come funziona il servizio di segnalazione online del Garante Privacy per prevenire il fenomeno del Revenge porn

Segnalazione Revenge Porn

Revenge porn: il Garante Privacy ha reso disponibile il servizio online per effettuare una segnalazione, oltre ad un’utile scheda informativa per prevenire e difendersi da questo tipo di fenomeni proteggendo e gestendo correttamente i propri dati personali.

Cos’è il revenge porn

Il revenge porn, si ricorda, consiste nell’invio, consegna, cessione, pubblicazione o diffusione, da parte di chi li ha realizzati o sottratti e senza il consenso della persona cui si riferiscono, di immagini o video a contenuto sessualmente esplicito destinati a rimanere privati. Tale diffusione avviene di solito a scopo vendicativo (ad esempio per “punire” l’ex partner che ha deciso di porre fine ad un rapporto amoroso), per denigrare pubblicamente, ricattare, bullizzare o molestare. Si tratta quindi di una pratica che può avere effetti drammatici a livello psicologico, sociale e anche materiale sulla vita delle persone che ne sono vittime.

Protezione dati personali

La prima e più importante forma di difesa, ricorda il Garante, sono sempre la consapevolezza e la prudenza. Spesso accade che i dati personali vengano immessi dagli stessi interessati nel circuito di messaggistica e social network, sfuggendo così ogni controllo e rendendone impossibile la cancellazione una volta diffusi.

Per proteggere i dati personali eventualmente presenti nei tuoi dispositivi (smartphone, pc o tablet), occorre utilizzare sempre adeguate misure di sicurezza: ad esempio, password che proteggono i dispositivi e/o le cartelle in cui conservi i file, sistemi di crittografia per rendere illeggibili i file agli altri, sistemi anti-virus e anti-intrusione per i dispositivi.

Se si ricevono foto o immagini a contenuto sessualmente esplicito che riguardano altre persone, il Garante consiglia di evitare “di essere complice di comportamenti illeciti nei confronti delle stesse” di non diffonderle, cancellarle e se si ritiene di fare una segnalazione alla Polizia postale.

A maggior ragione quando tali fenomeni riguardano i minori, come vittime o destinatari di contenuti.

“Se sei un genitore – consiglia il Garante – evita di far utilizzare dispositivi digitali ai tuoi figli piccoli se sono da soli, monitora il loro comportamento online e spiega con chiarezza perché è bene evitare di interagire con sconosciuti e diffondere informazioni personali, soprattutto foto e filmati, tramite messaggi e social network (vedi anche la pagina informativa www.gpdp.it/minori).

Come prevenire il Revenge porn

Nel caso in cui si abbia un fondato timore che immagini a contenuto sessualmente esplicito possano essere diffuse senza il proprio consenso è possibile presentare una segnalazione al Garante ai sensi degli art. 144-bis del Codice in materia di protezione dei dati personali e 33-bis del regolamento n. 1/2019 del Garante.

Per farlo è possibile utilizzare l’apposito form reso disponibile nel sito istituzionale dell’Autorità, in cui dovranno essere indicate le piattaforme di condivisione di contenuti (social network, messaggistica, ecc.) attraverso le quali si teme la diffusione, nonché le ragioni che fondano il timore che la condotta pregiudizievole possa essere posta in essere.

Dovranno poi essere trasmesse all’Autorità – tramite un link che sarà comunicato dopo la presentazione della segnalazione – le immagini o i contenuti sessualmente espliciti dalla cui divulgazione ci si intenda tutelare.

Il Garante, in presenza dei presupposti indicati dalle norme di riferimento, adotterà un provvedimento, che sarà notificato alle piattaforme coinvolte nel tentativo di contrastare la temuta diffusione.

Questo strumento può essere utilizzato non solo dagli adulti, ma anche dai minori.

Si ricorda che alla tutela che accorda il Garante può sempre aggiungersi quella prestata dalla Polizia Postale, alla quale è possibile rivolgersi per denunciare situazioni in cui siano ravvisabili gli estremi di una condotta penalmente rilevante (come nel caso in cui si subiscano minacce o richieste estorsive).

Infine, rammenta l’autorità, il più importante accorgimento “è tenere alto il livello di prudenza nel condividere materiale a contenuto sessualmente esplicito, in quanto l’intervento del Garante non è in grado di assicurare, in termini assoluti, che l’evento temuto non si verificherà: la persona malintenzionata, ad esempio, potrebbe detenere immagini anche solo parzialmente diverse da quelle comunicate alla piattaforma vanificando così la misura adottata”.

vaccino anti papilloma
12 Ago
Amministrativo, Amministrativo - Primo piano

Vaccinazione anti Papilloma: il no del Garante Il Garante avverte formalmente la regione Puglia sulla vaccinazione anti Papilloma agli studenti e sulla richiesta vaccinazione anti Covid

Vaccinazione anti Papilloma a studenti: l’intervento del Garante Privacy

Violano la normativa privacy i trattamenti di dati personali previsti dalla legge regionale pugliese che introduce l’obbligo per gli studenti di scuole medie, superiori ed università, di presentare una certificazione in materia di vaccinazione al Papilloma virus (HPV) per potersi iscrivere ai relativi corsi di istruzione. È questo l’avvertimento formale inviato dal Garante per la protezione dei dati personali alla Regione Puglia, reso noto con un comunicato sul sito istituzionale.

Parola alla Consulta

L’Autorità evidenzia che – qualora la Corte Costituzionale dichiarasse la illegittimità della legge regionale pugliese, impugnata dal Governo – i trattamenti posti in essere dalla Regione non sarebbero conformi alla disciplina in materia di protezione dei dati personali, perché privi di una idonea base giuridica.  Ad analoga conclusione si giungerebbe, anche a prescindere da una eventuale pronuncia di illegittimità, poiché i trattamenti di dati non sarebbero comunque conformi ai principi di necessità e proporzionalità previsti dal Regolamento Ue (Gdpr).

Il Garante ricorda inoltre che il trattamento dei dati relativi alla salute è lecito solo in presenza di una legge dello Stato. Solo una norma uniforme a livello nazionale – peraltro per un vaccino non obbligatorio ai fini dell’iscrizione a scuola – può infatti prevedere l’acquisizione di documentazione sanitaria da parte delle autorità scolastiche così come l’onere da parte di studenti e famiglie di produrre tale documentazione.

L’avvertimento adottato nei confronti della Regione Puglia è stato comunicato al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome, e inviato alla Gazzetta ufficiale per la pubblicazione.

Violazioni anche sul vaccino Covid

L’Autorità ha registrato inoltre violazioni sul fronte della vaccinazione anti Covid, notificando all’Asl di Lecce le violazioni rilevate nell’ambito dell’istruttoria avviata lo scorso giugno, a seguito della notizia del mancato accesso in ospedale di alcuni tirocinanti, perché sprovvisti della quarta dose del vaccino anti-Covid.

gdpr vale per wikipedia
06 Ago
Amministrativo, Amministrativo - Primo piano

Il GDPR vale anche per Wikipedia Il Garante Privacy ricorda che anche Wikipedia, la nota enciclopedia online deve rispettare le regole sulla protezione dei dati personali, sul giornalismo e la manifestazione del pensiero

GDPR e Wikipedia

GDPR vale anche per Wikipedia, la nota enciclopedia online. “Il trattamento di dati personali effettuato da Wikipedia ricade sotto il GDPR e ai contenuti pubblicati si applicano le norme sull’attività giornalistica e la manifestazione del pensiero”. È quanto ha stabilito il Garante per la protezione dei dati personali, con provvedimento del 9 maggio scorso, dopo il reclamo di un interessato che non aveva visto soddisfatta la richiesta di cancellazione di un articolo biografico, relativo a una vicenda giudiziaria, da parte di Wikipedia Foundation, la no-profit Usa creatrice del progetto dell’enciclopedia online.

Wikipedia host neutrale

Per quanto riguarda il trattamento di dati personali effettuato negli articoli, la Fondazione, che non ha stabilimento in Europa, ritiene che Wikipedia non offra un servizio agli utenti nella Ue e di non essere quindi vincolata al rispetto del Regolamento generale sulla protezione dati: l’enciclopedia sarebbe solo un “host neutrale” che “ospita” i contenuti inseriti dalla comunità di volontari.

Wikipedia servizio di informazione

In realtà, per il Garante, “Wikipedia non solo offre un servizio di informazione su una grande varietà di argomenti, ma lo rivolge anche al mercato europeo, come dimostrano la costante azione di indirizzo e verifica degli standard qualitativi dei contenuti rivolti dalla Fondazione alla comunità e la creazione di versioni del sito dedicate agli utenti di uno o più Stati membri”. Si realizza così – spiega il Garante – “quel requisito di intenzionalità nell’offerta di servizi che permette di applicare il GDPR a un titolare del trattamento stabilito in un Paese terzo e senza stabilimento nella Ue”.

Il provvedimento del Garante

L’Autorità ha comunque respinto l’istanza di cancellazione dell’interessato, perché il trattamento di dati personali per finalità giornalistiche, anche senza consenso, “è lecito se rispetta i diritti e la dignità delle persone e il principio dell’essenzialità dell’informazione. Allo stesso modo, è lecita anche la permanenza dell’articolo nell’archivio dell’enciclopedia online: gli archivi di siti e giornali, anche cartacei, rivestono infatti una importante funzione ai fini della ricostruzione storica degli eventi”.

Il Garante ha tuttavia disposto la deindicizzazione dell’articolo.

“La presenza online della pagina – infatti – vanificherebbe il beneficio del limite della conoscibilità posto alle condanne inferiori ai due anni, che non sono inserite nel casellario giudiziario, mentre nel frattempo è venuto a scemare l’interesse pubblico per la vicenda”.

Vedi tutte le news di diritto amministrativo

giurista risponde
09 Lug
Civile, Civile - Primo piano, Il giurista risponde, Il giurista risponde - Primo piano

Violazione del diritto alla riservatezza e risarcimento del danno Quali sono le condizioni e i criteri per il risarcimento del danno da violazione del diritto alla riservatezza?

Quesito con risposta a cura di Manuel Mazzamurro e Incoronata Monopoli

 

Il danno da violazione del diritto alla riservatezza, dovendo necessariamente consistere in un profilo consequenziale rispetto al fatto dannoso denunciato, dev’essere essere oggetto di specifica allegazione e di prova, anche tramite il ricorso al valore rappresentativo di presunzioni semplici, ossia anche attraverso l’indicazione degli elementi costitutivi e delle specifiche circostanze di fatto da cui desumerne, sebbene in via presuntiva, l’esistenza. – Cass., sez. III, ord. 16 aprile 2024, n. 10155.

 Nel caso di specie, la Suprema Corte è chiamata a valutare se il danno da violazione del diritto alla riservatezza sia soltanto patrimoniale o anche morale ed esistenziale.

Il Tribunale adito, in parziale accoglimento dei ricorsi proposti dai danneggiati, condannava l’azienda sanitaria a rifondere i predetti; tenuto conto, altresì, che quest’ultima aveva proceduto ad oscurare i dati sensibili dei medesimi.

Viene proposto, quindi, ricorso, ex art. 380bis, per Cassazione, lamentando i ricorrenti che il danno da violazione del diritto alla riservatezza non sia soltanto patrimoniale, ma anche morale ed esistenziale; e che l’art. 15 del codice della protezione dei dati personali statuisca un generale principio di “indemnisation” integrale del danno non patrimoniale da trattamento dei dati personali; che la danneggiata abbia subito un danno alla vita di coppia ed alla sfera sessuale, un danno alla vita di relazione, all’immagine, al nome, all’onore; in ordine alla quantificazione del danno, che si richiami la definizione del danno non patrimoniale come prevista dall’art. 138 del codice delle assicurazioni (Cass., sez. III, 27 dicembre 2014, n. 1608).

La Suprema Corte ha ricordato quanto stabilito dalla pronunzia della Corte cost. 6 ottobre 2014, n. 235 e dell’entrata in vigore della L. 124/2017 (che all’art. 1, comma 17, ha modificato l’art. 138 cod. ass., richiamato dai ricorrenti), secondo cui il giudice del merito sia tenuto “a valutare tanto le conseguenze subite dal danneggiato nella sua sfera morale (che si collocano nella dimensione del rapporto del soggetto con se’ stesso), quanto quelle incidenti sul piano dinamico-relazionale della sua vita (che si dipanano nell’ambito della relazione del soggetto con la realtà esterna, con tutto ciò che, in altri termini, costituisce “altro da sé”)” (Cass., sez. III, 31 gennaio 2019, n. 2788; Cass., sez. III, 21 luglio 2017, n. 21939).

Di talché, è necessario che il danno preteso sia oggetto di specifica allegazione e di prova, dovendo necessariamente consistere in un profilo consequenziale rispetto al fatto dannoso denunciato (non potendo esaurirsi nella figura del c.d. danno-evento, ossia in re ipsa) (Cass., sez. III, ord. 10 luglio 2023, n. 19551; Cass., sez. III, 13 ottobre 2016, n. 20643; Cass., sez. III, ord. 18 novembre 2022, n. 34026).

Nel caso all’esame, sul punto, giova sottolineare come nella specie il Tribunale ha avuto cura di evidenziare che la divulgazione di informazioni in violazione degli obblighi di riservatezza e di privacy avvenuta in modo illegittimo (in particolare, circa gli aspetti inerenti allo stato di salute e alla vita sessuale della odierna parte ricorrente, nonché alle prestazioni sanitarie cui era stata sottoposta, e alle coordinate bancarie del coniuge su cui accreditare il rimborso ottenuto) determinò l’odierna azienda controricorrente a provvedere in un tempo brevissimo (nelle ore immediatamente successive alla pubblicazione) ad oscurare i dati sensibili presenti nel testo diffuso.

Di conseguenza, il Tribunale ha correttamente considerato il complesso degli elementi istruttori documentali e testimoniali acquisiti ed è pervenuto alla quantificazione e liquidazione del danno in via equitativa, in modo unitario e omnicomprensivo e proporzionato al danno di natura non patrimoniale subìto in concreto dalla parte ricorrente.

Per tale motivo, il ricorso è inammissibile.

PRECEDENTI GIURISPRUDENZIALI:

-Conformi:  Cass., sez. III, 31 gennaio 2019, n. 2788; Cass., sez. III, 21 luglio 2017, n. 21939; Cass., sez. III, ord. 10 luglio 2023, n. 19551; Cass., sez. III, 13 ottobre 2016, n. 20643; Cass., sez. III, ord. 18 novembre 2022, n. 34026

-Difformi:   Cass., sez. III, 27 dicembre 2014, n. 1608

*Contributo in tema di “Violazione del diritto alla riservatezza e risarcimento del danno”, a cura di Manuel Mazzamurro e Incoronata Monopoli, estratto da Obiettivo Magistrato n. 75 / Giugno 2024 – La guida per affrontare il concorso – Dike Giuridica