privacy in condominio
16 Mag
Condominio, Condominio - Primo piano

Privacy in condominio: le nuove linee guida Privacy in condominio: avviata la consultazione sulle nuove Linee guida, focus su adempimenti, videosorveglianza e digitalizzazione

Privacy in condominio: consultazione pubblica

Novità in materia di privacy in condominio. Il Garante per la protezione dei dati personali ha infatti reso noto con la newsletter datata 8 maggio 2025, di aver avviato una consultazione pubblica per adottare nuove Linee guida sul trattamento dei dati personali in ambito condominiale.

Questa iniziativa è stata formalizzata con il provvedimento n. 209 del 10 aprile 2025 e il suo obiettivo consiste nel chiarire gli obblighi e le responsabilità in materia di privacy nelle relazioni condominiali, tenendo conto degli sviluppi normativi e giurisprudenziali in materia, in particolare del GDPR.

Linee guida privacy in condominio

Le Linee guida, che saranno oggetto della consultazione, intendono fornire indicazioni operative uniformi, rispondere a quesiti pratici, recepire gli orientamenti giurisprudenziali recenti e dare seguito alle richieste di chiarimento che sono pervenute al Garante.

Il documento si concentra su tre aree principali:

  • gli adempimenti privacy (responsabilità dell’amministratore, informative, raccolta e conservazione dati);
  • la videosorveglianza condominiale (liceità, informative, tempi di conservazione e accesso);
  • la digitalizzazione dei processi condominiali (piattaforme, gestione documentale, assemblee online).

Il documento non trascura di segnalare la necessità di coordinarsi con le disposizioni di natura civilistica, così come non dimentica di trattare le tematiche della privacy legate al condominio minimo, al super-Condominio e agli altri ambiti esclusi.

Non mancano precisazioni infine sul ruolo dell’amministratore di condominio in materia di privacy e sulle responsabilità conseguenti in caso di violazione delle normative.

Come inviare proposte e osservazioni

La consultazione è rivolta soprattutto ai professionisti del settore condominiale e alle associazioni di categoria.

Tutti i soggetti interessati potranno inviare le loro osservazioni e le loro proposte entro 30 giorni dalla pubblicazione in Gazzetta Ufficiale (avvenuta il 9 maggio 2025) agli indirizzi email indicati, specificando nell’oggetto “Consultazione pubblica sulle Linee guida sul trattamento dei dati personali nell’ambito del condominio“.

Il Garante, con le Linee guida, vuole creare un riferimento pratico per la corretta gestione dei dati personali nei condomini, con un focus sui compiti dell’amministratore.

Leggi anche gli altri articoli dedicati al tema della riservatezza in ambito condominiale

lavoratori smart working
16 Mag
Lavoro, Lavoro - Primo piano

Lavoratori smart working: geolocalizzazione vietata Lavoratori smart working: il Garante privacy sanziona azienda che geolocalizza i dipendenti con procedure illecite

Geolocalizzazione lavoratori smart working

Il Garante per la protezione dei dati personali condanna le pratiche di sorveglianza dei lavoratori in smart working con il provvedimento n. 135 del 13 marzo 2025. Una controversia portata all’attenzione dell’Autorità privacy è culminata infatti con una sanzione di 50mila euro ai danni di un’azienda.

La contestazione riguarda l’illecita geolocalizzazione di circa cento lavoratori durante la loro attività lavorative da remoto. L’intervento del Garante è stato innescato dal reclamo di una dipendente e da una segnalazione dell’Ispettorato della Funzione Pubblica. Dall’istruttoria sono emerse significative violazioni della normativa sulla privacy.

Geolocalizzazione illecita

L’istruttoria condotta dal Garante ha svelato che l’azienda attuava il monitoraggio sistematico della posizione geografica dei propri dipendenti. L’obiettivo era verificare la corrispondenza tra il luogo effettivo di lavoro e l’indirizzo dichiarato nell’accordo individuale di smart working.

Questo tipo di controllo avveniva anche attraverso procedure mirate: i dipendenti, selezionati a campione, venivano contattati telefonicamente e invitati ad attivare la geolocalizzazione dei propri dispositivi (pc o smartphone) per effettuare una timbratura tramite app.

Subito dopo veniva richiesta una dichiarazione via e-mail del luogo in cui i lavoratori si trovavano fisicamente. Queste verifiche potevano anche evolversi in procedimenti disciplinari. Il tutto però senza una valida base giuridica e senza un’informativa adeguata. Inammissibile quindi questa intrusione nella sfera privata dei lavoratori, che contravviene al Regolamento europeo e al Codice della privacy.

Dignità del lavoratore e controllo a distanza

Il Garante privacy ha ribadito le legittime esigenze di controllo sulla diligenza dei dipendenti che operano in smart working. Queste però non possono giustificare l’impiego di strumenti tecnologici che comprimono la libertà e la dignità della persona.

Queste pratiche configurano un monitoraggio diretto dell’attività lavorativa che non è consentito né dallo Statuto dei lavoratori né dai principi costituzionali.

Occorre un equilibrio tra le esigenze organizzative del datore di lavoro e la tutela dei diritti fondamentali dei lavoratori, soprattutto in un contesto di lavoro agile dove il rispetto della privacy ha un’importanza ancora maggiore.

 

Leggi anche gli altri articoli dedicati allo smart working

accesso all'anagrafe condominiale
13 Mag
Condominio, Condominio - Primo piano

Accesso all’anagrafe condominiale: la privacy non limita il diritto Accesso all’anagrafe condominiale: per il tribunale di Milano, la privacy non può limitare il diritto del condomino

Accesso all’anagrafe condominiale e privacy

Con la sentenza n. 3445/2025, il Tribunale di Milano ha ribadito un principio di particolare rilievo in ambito condominiale. L’amministratore non può negare al condomino l’accesso all’anagrafe condominiale invocando la normativa sulla privacy. Ciò perchè i condòmini sono a tutti gli effetti anche titolari del trattamento dei dati personali del condominio.

Il contenzioso

La vicenda giudiziaria ha avuto origine da un decreto ingiuntivo ottenuto da due condòmini nei confronti dell’amministratore, colpevole di non aver loro consegnato copia dell’anagrafe condominiale, nonostante le reiterate richieste. Quest’ultimo ha proposto opposizione sostenendo, tra l’altro, che il diniego fosse giustificato da ragioni di tutela della privacy, in conformità con il Regolamento UE 2016/679 (GDPR).

Secondo l’amministratore, infatti, l’anagrafe condominiale conterrebbe dati personali soggetti a riservatezza e non liberamente divulgabili senza il consenso esplicito degli interessati, configurandosi egli come responsabile del trattamento che non può permettere un accesso generalizzato a tali informazioni.

La decisione del giudice

Il Tribunale ha respinto l’eccezione, chiarendo che i condòmini, in quanto membri dell’ente-condominio, sono non solo interessati ma anche co-titolari del trattamento dei dati, e che, pertanto, non si può opporre il diritto alla riservatezza per ostacolare la consultazione dell’anagrafe. Il diritto di visione e copia dei documenti condominiali, incluso il registro anagrafico, è sancito dal codice civile e riconosciuto dalla giurisprudenza consolidata.

In particolare, il giudice ha sottolineato che il diritto di accesso non è subordinato a una motivazione né a una verifica preventiva di interesse, a condizione che non venga esercitato con finalità abusive o pretestuose.

Privacy e trasparenza: un equilibrio necessario

La pronuncia si inserisce in una linea interpretativa che mira a bilanciare il diritto alla riservatezza con il principio di trasparenza nella gestione condominiale, sottolineando come il GDPR non possa essere utilizzato per impedire ai condòmini di esercitare i loro diritti.

In tal senso, il giudice ha richiamato anche i recenti orientamenti del Garante per la protezione dei dati personali (doc. n. 9237419/2023), i quali riconoscono la piena legittimità dell’accesso ai documenti condominiali da parte dei condòmini, in quanto diretti co-titolari del trattamento.

Esiti giudizio e principio della soccombenza virtuale

Pur rilevando la cessazione della materia del contendere (poiché l’amministratore era stato nel frattempo revocato e i documenti trasmessi), il Tribunale ha applicato il principio della soccombenza virtuale, affermando che, se il giudizio fosse proseguito nel merito, l’opposizione sarebbe stata respinta.

Allegati

telemedicina
04 Mar
Amministrativo, Amministrativo - Primo piano

Telemedicina: ok alla piattaforma nazionale Il Garante Privacy ha dato il via libera allo schema di decreto del ministero della Salute che disciplina i trattamenti di dati personali nell'ambito della Piattaforma Nazionale di telemedicina

Telemedicina: ok Dm Salute

Dopo aver chiesto ed ottenuto maggiori garanzie a tutela dei dati trattati, il Garante privacy ha dato via libera allo schema di decreto del Ministero della salute che disciplina i trattamenti di dati personali nell’ambito della Piattaforma nazionale di telemedicina (PNT) prevista dal PNRR.

Valutazione d’impatto preventiva

Lo schema di decreto ha accolto le numerose modifiche chieste dal Garante. In particolare, rispetto alla prima bozza del decreto trasmessa dal Ministero, è stato introdotto l’obbligo della valutazione d’impatto preventiva, anche in considerazione della natura, dell’oggetto, delle finalità e dell’elevato numero di persone coinvolte.

Nello schema di decreto, tra l’altro, sono stati specificati la tipologia di dati trattati e delle operazioni eseguibili, i motivi di interesse pubblico rilevante e le misure specifiche e appropriate per tutelare i diritti degli interessati.

EDS

Sono stati individuati i servizi resi disponibili dalla PNT per finalità di cura e di governo, le modifiche alla disciplina dell’Ecosistema Dati Sanitari (EDS), i ruoli del trattamento e le specifiche finalità e i compiti attribuiti ai diversi soggetti coinvolti.

Su richiesta del Garante, particolare attenzione è stata posta sulle misure di sicurezza tecniche e organizzative per offrire garanzie adeguate al rischio.

Misure idonee

Lo schema di decreto prevede, tra l’altro, l’adozione di misure idonee ad attenuare il pericolo dell’utilizzo fraudolento di identità digitali, la cifratura dei dati mediante algoritmi robusti, l’introduzione di IPS (Intrusion Prevention System), il monitoraggio degli eventi di sicurezza, la gestione dei possibili incidenti e la tracciabilità delle operazioni.

Aggiornamento linee guida

L’Autorità ha evidenziato, infine, la necessità di aggiornare le “Linee guida per i servizi di telemedicina – requisiti funzionali e livelli di servizio” approvate con decreto del Ministero della salute nel 2022 in funzione della nuova disciplina sul FSE 2.0 e delle disposizioni del Regolamento europeo.

 

Leggi gli altri articoli in materia di diritto amministrativo

chatgpt garante
20 Dic
Civile

ChatGpt: Garante Privacy multa Openai Il Garante Privacy ha chiuso l'istruttoria nei confronti di Openai che dovrà realizzare una campagna informativa di 6 mesi e pagare una sanzione di 15 milioni di euro

ChatGPT, istruttoria Garante Privacy

ChatGPT il Garante per la protezione dei dati personali ha adottato nei giorni scorsi un provvedimento correttivo e sanzionatorio nei confronti di OpenAI in relazione alla gestione del servizio ChatGPT.

Le violazioni

Il provvedimento, che accerta le violazioni a suo tempo contestate alla società californiana, arriva all’esito di un’istruttoria avviata nel marzo del 2023 e dopo che l’EDPB (Comitato europeo per la protezione dei dati) ha pubblicato il parere con il quale identifica un approccio comune ad alcune delle più rilevanti questioni relative al trattamento dei dati personali nel contesto della progettazione, sviluppo e distribuzione di servizi basati sull’intelligenza artificiale.

IA generativa

Secondo il Garante la società statunitense, che ha creato e gestisce il chatbot di intelligenza artificiale generativa, oltre a non aver notificato all’Autorità la violazione dei dati subita nel marzo 2023, ha trattato i dati personali degli utenti per addestrare ChatGPT senza aver prima individuato un’adeguata base giuridica e ha violato il principio di trasparenza e i relativi obblighi informativi nei confronti degli utenti. Per di più, OpenAI non ha previsto meccanismi per la verifica dell’età, con il conseguente rischio di esporre i minori di 13 anni a risposte inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.

Campagna informativa di 6 mesi

L’Autorità, con l’obiettivo di garantire, innanzitutto, un’effettiva trasparenza del trattamento dei dati personali, ha ordinato a OpenAI, utilizzando per la prima volta i nuovi poteri previsti dall’articolo 166, comma 7 del Codice Privacy, di realizzare una campagna di comunicazione istituzionale di 6 mesi su radio, televisione, giornali e Internet.

I contenuti, da concordare con l’Autorità, dovranno promuovere la comprensione e la consapevolezza del pubblico sul funzionamento di ChatGPT, in particolare sulla raccolta dei dati di utenti e non-utenti per l’addestramento dell’intelligenza artificiale generativa e i diritti esercitabili dagli interessati, inclusi quelli di opposizione, rettifica e cancellazione.

Grazie a tale campagna di comunicazione, gli utenti e i non-utenti di ChatGPT dovranno essere sensibilizzati su come opporsi all’addestramento dell’intelligenza artificiale generativa con i propri dati personali e, quindi, essere effettivamente posti nelle condizioni di esercitare i propri diritti ai sensi del GDPR.

Sanzione di 15 milioni di euro

Il Garante ha comminato a OpenAI una sanzione di quindici milioni di euro calcolata anche tenendo conto dell’atteggiamento collaborativo della società.

Infine, tenuto conto che la società, nel corso dell’istruttoria, ha stabilito in Irlanda il proprio quartier generale europeo, il Garante, in ottemperanza alla regola del c.d. one stop shop, ha trasmesso gli atti del procedimento all’Autorità di protezione dati irlandese (DPC), divenuta autorità di controllo capofila ai sensi del GDPR, affinché prosegua l’istruttoria in relazione a eventuali violazioni di natura continuativa non esauritesi prima dell’apertura dello stabilimento europeo.

foto di minori
04 Dic
Civile, Famiglia

Foto di minori sui social: serve il consenso di entrambi i genitori Il Garante Privacy ammonisce un padre che aveva pubblicato la foto del figlio minore di 14 anni sui social senza il consenso della madre

Foto dei minori sui social

No alle foto di minori sui social senza il consenso di entrambi i genitori. Per postare sui social network immagini che ritraggono minori di 14 anni è necessario il preventivo consenso di entrambi i genitori. Invece se il minore ha compiuto quattordici anni la normativa italiana gli riconosce la facoltà di decidere autonomamente sulla pubblicazione. Questo è ciò che ha ribadito il Garante Privacy intervenuto a seguito del reclamo di una madre, che lamentava la pubblicazione di una foto del figlio, minore di quattordici anni, da parte del padre sul proprio profilo Facebook.

Immagine lesiva riservatezza del figlio

La donna aveva già chiesto all’uomo, senza alcun risultato, la rimozione dell’immagine, ritenendola lesiva della riservatezza e della reputazione del figlio.

Il bambino era ritratto insieme al fratello, anch’egli minore e la foto era accompagnata da un commento del padre sulla loro somiglianza pur essendo nati da madri diverse.

Necessario consenso di entrambi i genitori

Nel provvedimento l’Autorità ha precisato che il consenso di entrambi i genitori alla pubblicazione di immagini di minori di quattordici anni è richiesto anche se al padre e alla madre, benché non più conviventi, sia stato riconosciuto l’affidamento condiviso dei figli. Per cui, ha concluso il Garante, “la pubblicazione della foto del minore sulla ‘piazza virtuale’ dei social è da considerarsi illecita”.

L’Autorità perciò ha ammonito il padre, tenendo conto del fatto che non avesse precedenti analoghi, ed ha disposto il divieto di pubblicazione dell’immagine del figlio senza il consenso di entrambi i genitori. L’uomo dovrà anche comunicare (entro 30 giorni dalla data di ricezione del provvedimento) le iniziative intraprese per adempiere alle prescrizioni del Garante.

violazione privacy
18 Nov
Civile, Civile - Primo piano

Violazione privacy per errore “umano”, nessuna sanzione Il Garante Privacy esclude la sanzione per violazione della privacy se l’errore è accidentale, lieve e privo di dolo

Violazione privacy accidentale

Violazione privacy accidentale: il Garante ha deciso di non imporre sanzioni in un caso di violazioni dovute a un errore accidentale, “umano”, e privo di dolo. La decisione è stata presa nel provvedimento n. 441/2024, che ha escluso misure correttive nei confronti di una società di autonoleggio.

La vicenda

L’incidente riguarda due turisti norvegesi che, durante una vacanza in Italia, si sono trovati a ricevere erroneamente una multa per infrazione al codice della strada e un sollecito di pagamento per pedaggi, entrambi emessi da una società di recupero crediti.

I due turisti non erano coinvolti in nessuno dei fatti contestati e, peraltro, non si trovavano nemmeno in Italia al momento dell’infrazione.

L’errore umano e la rettifica tempestiva

Il Garante ha riscontrato che la causa della violazione fosse da attribuire a un errore umano, verificatosi in modo occasionale durante la fase di data entry. Dopo l’accaduto, la società di autonoleggio ha provveduto immediatamente a correggere i dati errati, facendo annullare le contravvenzioni per violazione del codice della strada e aggiornando le proprie misure tecniche e organizzative per prevenire il ripetersi di simili errori.

Violazione privacy, nessuna sanzione

Alla luce di quanto accaduto, il Garante della privacy ha deciso di non intraprendere alcuna azione correttiva nei confronti del titolare del trattamento dei dati, come previsto dall’art. 58, comma 2, del Regolamento Generale sulla Protezione dei Dati (RGPD). Invece di applicare sanzioni, l’autorità ha adottato una decisione ai sensi dell’art. 60, comma 7, del RGPD per chiudere il procedimento. Tuttavia, ha esortato la società a compiere una verifica costante dell’adeguatezza delle misure tecniche e amministrative relative al trattamento dei dati, inclusa una corretta formazione del personale, per evitare errori simili in futuro.

codice condotta telemarketing
09 Ott
Civile

Telemarketing: al via il Codice di condotta Codice di condotta in materia di telemarketing in vigore dal 28 settembre 2024: stop alle chiamate incontrollate

Codice di condotta telemarketing in vigore

Telemarketiing e teleselling: in vigore a tutti gli effetti il Codice di condotta che regola le attività. Il Codice, che ha l’obiettivo di tutelare gli utenti dalle chiamate indesiderate, è stato approvato dal Garante Privacy il 7 marzo 2024 e, con l’accreditamento dell’Organismo di monitoraggio (OdM) è stato completato l’iter per la sua piena applicazione. La delibera di approvazione e l’accreditamento dell’Odm sono stati pubblicati sulla Gazzetta ufficiale n. 73 del 27 marzo 2024.

L’articolo 19, al comma 4 dispone che “Il Codice di  condotta  eventualmente  rivisto  ai  sensi  del precedente comma entrerà in vigore, previo accreditamento  dell’OdM, ai sensi dell’art. 41 del regolamento, quindici giorni  dopo  la  sua pubblicazione nella Gazzetta ufficiale della Repubblica italiana”.

Misure specifiche di applicazione in vigore dal 28 settembre 2024

Il comma 5 invece dispone che “Le misure necessarie per l’applicazione del presente Codice di condotta sono adottate dai soggetti aderenti entro il termine di sei mesi dall’entrata in vigore del Codice di condotta”.

Trattasi nello specifico delle misure che devono garantire la correttezza e la legittimità del trattamento dei dati lungo tutta la “filiera” del telemarketing.

Tali misure, entrate in vigore il 28 settembre 2024, consistono nella raccolta di consensi specifici per le singole finalità (marketing, profilazione, ecc.) e nell’obbligo di informare in maniera precisa le persone contattate sull’uso dei loro dati, assicurando il pieno esercizio dei diritti previsti dalla normativa privacy (opposizione al trattamento, rettifica o aggiornamento dei dati).

Vediamo quali sono le regole del Codice, che non valgono per gli operatori che utilizzano il telefono per verificare la soddisfazione della clientela o che svolgono attività promozionali tramite sms o applicazioni.

Orari fissi per le chiamate

Il Codice di condotta vieta le chiamate nei giorni festivi e la domenica. Gli operatori possono contattare gli utenti solo in due fasce orarie distinte:

  • dal lunedì al venerdì dalle ore 9.00 alle ore 20.00;
  • nei giorni prefestivi e il sabato dalle ore 10.00 alle ore 19.00.

Il Codice consente una tolleranza massima di 15 minuti rispetto agli orari indicati. La telefonata senza risposta o non effettuata perché l’utente è occupato è considerata come non effettuata.

Divieto di telefonate anonime e consenso

Gli operatori non possono effettuare telefonate che non consentono all’utente di identificare il numero dal quale viene effettuata la chiamata. I numeri devono essere visibili sul telefono e l’utente deve avere la possibilità di richiamare. Chi effettua la chiamata inoltre deve identificarsi in modo chiaro e ottenere il consenso specifico alla chiamata avente finalità promozionali.

Il consenso per finalità di telemarketing è valido ai sensi dell’art. 12 del Codice di condotta se informato, libero, specifico, inequivocabile e documentabile.

Script conforme al Codice di Condotta

Il committente deve mettere a disposizione del  call center, con modalità documentate e verificabili, uno script conforme al Codice di condotta e applicabile a ogni campagna di telemarketing o teleselling. Lo script deve contenere le istruzioni che gli operatori devono seguire e rispettare nel contare gli utenti. Il committente deve fornire inoltre il testo dell’informativa relativa al trattamento dei dati personali, anch’essa conforme al Codice di condotta, da sottoporre ai soggetti interessati.

Sanzioni per chi viola le regole

Di estremo interesse infine l’articolo 16 dedicato al controllo dell’origine del contratto con l’affidatario. L’accordo deve prevede un meccanismo sanzionatorio, che preveda l’applicazione di una penale, il mancato riconoscimento della provvigione o l’annullamento della stessa, se il contratto viene stipulato in mancanza di un contatto legittimo.

Le penali devono essere parametrate rispetto elle provvigioni e alla percentuale dei contratti sottoposti a controllo, per assolvere alle finalità dissuasive da perseguire. A tale fine si può stabilire ad esempio che la penale sia pari al triplo della provvigione prevista per ogni contratto e non richiesta oppure richiesta in ripetizione per ogni contratto.

 

Vedi le altre notizie di civile

smishing
02 Set
Penale, Penale - Primo piano

Smishing: cos’è e come difendersi Cos'è e come funziona lo smishing e i suggerimenti del Garante per proteggersi da questa forma di phishing che sfrutta sms e messaggistica

Smishing: cos’è

Lo Smishing (o phishing tramite SMS) è una forma di truffa che utilizza messaggi di testo e sistemi di messaggistica (compresi quelli delle piattaforme social media) per appropriarsi di dati personali a fini illeciti (ad esempio, per poi sottrarre denaro da conti e carte di credito). Il Garante privacy ha dedicato una scheda informativa per proteggersi da questa forma di phishing.

Come funziona

In genere i messaggi di smishing invitano i destinatari a compiere azioni (cliccare link, ecc.) o fornire informazioni con urgenza, per non rischiare danni (es: blocco di utenze, blocco della carta di credito o del conto) o sanzioni.

I truffatori (“smisher”), spiega il Garante, “inviano messaggi per chiedere ad esempio alle vittime di:

  • cliccare un link che conduce ad un form online in cui inserire dati personali, dati bancari o della carta di credito, ecc.. Il link da cliccare può anche essere utilizzato per installare sullo smartphone della vittima programmi malevoli capaci di carpire dati personali conservati sul dispositivo o addirittura in grado di accedere alle app e ai programmi con cui si gestiscono Internet banking, carte di credito, ecc.;
  • scaricare un allegato che può contenere programmi malevoli capaci di prendere il controllo dello smartphone o accedere ai dati in esso contenuti;
  • rispondere ai messaggi ricevuti inviando dati personali (il codice fiscale, il PIN del Bancomat o quello utilizzato per l’Internet banking, il numero della carta, il codice di sicurezza della carta, i dati dell’OTP cioè della password temporanea per eseguire operazioni sul conto bancario e sulla carta di credito, ecc.);
  • chiamare un numero di telefono, dove poi un finto operatore o un sistema automatizzato chiedono di fornire informazioni di vario tipo, compresi dati bancari e/o della carta di credito”.

Perchè lo smishing è pericoloso

Gli smisher fanno leva sul timore legato ad un rischio incombente per convincere le vittime ad abbassare il livello di prudenza e a reagire d’impulso. Per questo, invita l’authority, è bene “diffidare dei messaggi che hanno toni ultimativi e intimidatori o che spingono ad agire con fretta e urgenza. Ad es. il messaggio di una banca che segnala un account compromesso da verificare con urgenza; offerte di sconti straordinari da usufruire subito; amministrazioni pubbliche che segnalano la richiesta di dati, sanzioni da pagare, o anomalie da verificare, ecc.

Come difendersi dallo smishing

Il Garante invita a “non comunicare mai dati e informazioni personali o dati come codici di accesso, PIN, password, dati bancari e della carta di credito a sconosciuti” ricordando, in ogni caso, “che istituzioni e banche non richiedono di fornire dati personali tramite SMS o messaggistica istantanea, specie se si tratta di informazioni come PIN, password, codici di autorizzazione, ecc., che, di solito, loro stessi ci invitano a mantenere strettamente riservate”.

In generale, meglio non conservare le credenziali (password, PIN, codici) di dati bancari o della carta di credito sullo smartphone. In caso di intrusioni informatiche sul dispositivo (tramite malware, ad esempio), questi dati potrebbero infatti essere facilmente sottratti.

Per proteggere i conti bancari e carte di credito, inoltre, “è bene controllare spesso le movimentazioni ed eventualmente attivare sistemi di alert automatico che avvisano l’utente di ogni operazione effettuata”.

Se si ricevono messaggi da sconosciuti, “non cliccare sui link in essi contenuti e non aprire eventuali allegati: potrebbero contenere virus o programmi capaci di prendere il controllo di computer e smartphone. Stessa accortezza con i messaggi che provengono da numerazioni anomale o particolari (ad esempio: numeri con poche cifre), oppure da utenze identificate da un nome con il numero nascosto. In questi casi è sempre bene fermarsi a riflettere, prestando la massima attenzione al contenuto e al mittente del messaggio”. Infine, se si ricevono messaggi che invitano a richiamare determinati numeri di aziende o istituzioni, controllare SEMPRE prima se tali numeri corrispondono a quelli ufficiali (ad esempio consultando i siti web istituzionali). Per estrema sicurezza, invece di contattare i numeri ricevuti, ci si può rivolgere al centralino o all’URP dell’azienda o dell’istituzione chiendendo di farsi mettere in contatto con l’ufficio che dovrebbe aver inviato il messaggio”.

Cosa fare

Ad ogni modo, chi ha il dubbio di essere vittima di smishing è consigliabile che contatti “immediatamente la banca o il gestore della carta di credito attraverso canali di comunicazione conosciuti e affidabili per segnalare l’accaduto e, in caso di sottrazione di denaro, richiedere il blocco delle transazioni. In questa seconda ipotesi, si può anche segnalare la truffa subita alle autorità di polizia“.

trattamento dati sanitari
29 Ago
Civile

Trattamento dati sanitari: le regole del Garante Il Garante ha promosso l'adozione di nuove regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica, pubblicate in GU il 5 giugno 2024

Regole deontologiche trattamento dati sanitari

Sul trattamento dei dati sanitari per fini statistici o di ricerca, il Garante Privacy ha predisposto delle regole deontologiche pubblicate in Gazzetta Ufficiale il 5 giugno scorso.

Le regole muovono dalla recente riforma dell’articolo 110 del Codice privacy, a seguito della quale il Garante Privacy ha individuato le prime garanzie da adottare per il trattamento dei dati personali a scopo di ricerca medica, biomedica e epidemiologica, riferiti a pazienti deceduti o non contattabili.

La modifica dell’art. 110 Codice Privacy

Con la modifica dell’art. 110, infatti, chi effettua attività di ricerca medica – quando risulta impossibile informare gli interessati o l’obbligo implica uno sforzo sproporzionato, oppure rischia di pregiudicare gravemente i risultati dello studio – non deve più sottoporre il progetto di ricerca e la relativa valutazione di impatto alla consultazione preventiva, essendo sufficiente rispettare le specifiche garanzie previste dal Garante.

L’Autorità ha infatti stabilito che in tutti questi casi i titolari del trattamento – oltre ad acquisire, come già previsto, il parere favorevole del competente Comitato etico a livello territoriale sul progetto di ricerca – dovranno motivare e documentare le ragioni etiche o organizzative in base alle quali non hanno potuto acquisire il consenso dei pazienti nonché, effettuare e pubblicare la valutazione di impatto, dandone comunicazione al Garante.

Con lo stesso provvedimento l’Autorità, alla luce della riforma normativa e considerato il rilevante impatto delle nuove tecnologie nelle modalità di realizzazione dell’attività di ricerca, ha promosso l’adozione delle nuove regole deontologiche per trattamenti a fini statistici o di ricerca scientifica.

Le faq del Garante

Sullo stesso tema il Garante ha fornito chiarimenti sul trattamento dei dati da parte degli IRCCS, ossia “quegli enti del Servizio sanitario nazionale che, secondo standard di eccellenza, perseguono finalità di ricerca nel campo biomedico e in quello dell’organizzazione e gestione dei servizi sanitari ed effettuano prestazioni di ricovero e cura di alta specialità”, pubblicando apposite faq sul proprio sito.