chatgpt garante

ChatGpt: Garante Privacy multa Openai Il Garante Privacy ha chiuso l'istruttoria nei confronti di Openai che dovrà realizzare una campagna informativa di 6 mesi e pagare una sanzione di 15 milioni di euro

ChatGPT, istruttoria Garante Privacy

ChatGPT il Garante per la protezione dei dati personali ha adottato nei giorni scorsi un provvedimento correttivo e sanzionatorio nei confronti di OpenAI in relazione alla gestione del servizio ChatGPT.

Le violazioni

Il provvedimento, che accerta le violazioni a suo tempo contestate alla società californiana, arriva all’esito di un’istruttoria avviata nel marzo del 2023 e dopo che l’EDPB (Comitato europeo per la protezione dei dati) ha pubblicato il parere con il quale identifica un approccio comune ad alcune delle più rilevanti questioni relative al trattamento dei dati personali nel contesto della progettazione, sviluppo e distribuzione di servizi basati sull’intelligenza artificiale.

IA generativa

Secondo il Garante la società statunitense, che ha creato e gestisce il chatbot di intelligenza artificiale generativa, oltre a non aver notificato all’Autorità la violazione dei dati subita nel marzo 2023, ha trattato i dati personali degli utenti per addestrare ChatGPT senza aver prima individuato un’adeguata base giuridica e ha violato il principio di trasparenza e i relativi obblighi informativi nei confronti degli utenti. Per di più, OpenAI non ha previsto meccanismi per la verifica dell’età, con il conseguente rischio di esporre i minori di 13 anni a risposte inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.

Campagna informativa di 6 mesi

L’Autorità, con l’obiettivo di garantire, innanzitutto, un’effettiva trasparenza del trattamento dei dati personali, ha ordinato a OpenAI, utilizzando per la prima volta i nuovi poteri previsti dall’articolo 166, comma 7 del Codice Privacy, di realizzare una campagna di comunicazione istituzionale di 6 mesi su radio, televisione, giornali e Internet.

I contenuti, da concordare con l’Autorità, dovranno promuovere la comprensione e la consapevolezza del pubblico sul funzionamento di ChatGPT, in particolare sulla raccolta dei dati di utenti e non-utenti per l’addestramento dell’intelligenza artificiale generativa e i diritti esercitabili dagli interessati, inclusi quelli di opposizione, rettifica e cancellazione.

Grazie a tale campagna di comunicazione, gli utenti e i non-utenti di ChatGPT dovranno essere sensibilizzati su come opporsi all’addestramento dell’intelligenza artificiale generativa con i propri dati personali e, quindi, essere effettivamente posti nelle condizioni di esercitare i propri diritti ai sensi del GDPR.

Sanzione di 15 milioni di euro

Il Garante ha comminato a OpenAI una sanzione di quindici milioni di euro calcolata anche tenendo conto dell’atteggiamento collaborativo della società.

Infine, tenuto conto che la società, nel corso dell’istruttoria, ha stabilito in Irlanda il proprio quartier generale europeo, il Garante, in ottemperanza alla regola del c.d. one stop shop, ha trasmesso gli atti del procedimento all’Autorità di protezione dati irlandese (DPC), divenuta autorità di controllo capofila ai sensi del GDPR, affinché prosegua l’istruttoria in relazione a eventuali violazioni di natura continuativa non esauritesi prima dell’apertura dello stabilimento europeo.

foto di minori

Foto di minori sui social: serve il consenso di entrambi i genitori Il Garante Privacy ammonisce un padre che aveva pubblicato la foto del figlio minore di 14 anni sui social senza il consenso della madre

Foto dei minori sui social

No alle foto di minori sui social senza il consenso di entrambi i genitori. Per postare sui social network immagini che ritraggono minori di 14 anni è necessario il preventivo consenso di entrambi i genitori. Invece se il minore ha compiuto quattordici anni la normativa italiana gli riconosce la facoltà di decidere autonomamente sulla pubblicazione. Questo è ciò che ha ribadito il Garante Privacy intervenuto a seguito del reclamo di una madre, che lamentava la pubblicazione di una foto del figlio, minore di quattordici anni, da parte del padre sul proprio profilo Facebook.

Immagine lesiva riservatezza del figlio

La donna aveva già chiesto all’uomo, senza alcun risultato, la rimozione dell’immagine, ritenendola lesiva della riservatezza e della reputazione del figlio.

Il bambino era ritratto insieme al fratello, anch’egli minore e la foto era accompagnata da un commento del padre sulla loro somiglianza pur essendo nati da madri diverse.

Necessario consenso di entrambi i genitori

Nel provvedimento l’Autorità ha precisato che il consenso di entrambi i genitori alla pubblicazione di immagini di minori di quattordici anni è richiesto anche se al padre e alla madre, benché non più conviventi, sia stato riconosciuto l’affidamento condiviso dei figli. Per cui, ha concluso il Garante, “la pubblicazione della foto del minore sulla ‘piazza virtuale’ dei social è da considerarsi illecita”.

L’Autorità perciò ha ammonito il padre, tenendo conto del fatto che non avesse precedenti analoghi, ed ha disposto il divieto di pubblicazione dell’immagine del figlio senza il consenso di entrambi i genitori. L’uomo dovrà anche comunicare (entro 30 giorni dalla data di ricezione del provvedimento) le iniziative intraprese per adempiere alle prescrizioni del Garante.

violazione privacy

Violazione privacy per errore “umano”, nessuna sanzione Il Garante Privacy esclude la sanzione per violazione della privacy se l’errore è accidentale, lieve e privo di dolo

Violazione privacy accidentale

Violazione privacy accidentale: il Garante ha deciso di non imporre sanzioni in un caso di violazioni dovute a un errore accidentale, “umano”, e privo di dolo. La decisione è stata presa nel provvedimento n. 441/2024, che ha escluso misure correttive nei confronti di una società di autonoleggio.

La vicenda

L’incidente riguarda due turisti norvegesi che, durante una vacanza in Italia, si sono trovati a ricevere erroneamente una multa per infrazione al codice della strada e un sollecito di pagamento per pedaggi, entrambi emessi da una società di recupero crediti.

I due turisti non erano coinvolti in nessuno dei fatti contestati e, peraltro, non si trovavano nemmeno in Italia al momento dell’infrazione.

L’errore umano e la rettifica tempestiva

Il Garante ha riscontrato che la causa della violazione fosse da attribuire a un errore umano, verificatosi in modo occasionale durante la fase di data entry. Dopo l’accaduto, la società di autonoleggio ha provveduto immediatamente a correggere i dati errati, facendo annullare le contravvenzioni per violazione del codice della strada e aggiornando le proprie misure tecniche e organizzative per prevenire il ripetersi di simili errori.

Violazione privacy, nessuna sanzione

Alla luce di quanto accaduto, il Garante della privacy ha deciso di non intraprendere alcuna azione correttiva nei confronti del titolare del trattamento dei dati, come previsto dall’art. 58, comma 2, del Regolamento Generale sulla Protezione dei Dati (RGPD). Invece di applicare sanzioni, l’autorità ha adottato una decisione ai sensi dell’art. 60, comma 7, del RGPD per chiudere il procedimento. Tuttavia, ha esortato la società a compiere una verifica costante dell’adeguatezza delle misure tecniche e amministrative relative al trattamento dei dati, inclusa una corretta formazione del personale, per evitare errori simili in futuro.

codice condotta telemarketing

Telemarketing: al via il Codice di condotta Codice di condotta in materia di telemarketing in vigore dal 28 settembre 2024: stop alle chiamate incontrollate

Codice di condotta telemarketing in vigore

Telemarketiing e teleselling: in vigore a tutti gli effetti il Codice di condotta che regola le attività. Il Codice, che ha l’obiettivo di tutelare gli utenti dalle chiamate indesiderate, è stato approvato dal Garante Privacy il 7 marzo 2024 e, con l’accreditamento dell’Organismo di monitoraggio (OdM) è stato completato l’iter per la sua piena applicazione. La delibera di approvazione e l’accreditamento dell’Odm sono stati pubblicati sulla Gazzetta ufficiale n. 73 del 27 marzo 2024.

L’articolo 19, al comma 4 dispone che “Il Codice di  condotta  eventualmente  rivisto  ai  sensi  del precedente comma entrerà in vigore, previo accreditamento  dell’OdM, ai sensi dell’art. 41 del regolamento, quindici giorni  dopo  la  sua pubblicazione nella Gazzetta ufficiale della Repubblica italiana”.

Misure specifiche di applicazione in vigore dal 28 settembre 2024

Il comma 5 invece dispone che “Le misure necessarie per l’applicazione del presente Codice di condotta sono adottate dai soggetti aderenti entro il termine di sei mesi dall’entrata in vigore del Codice di condotta”.

Trattasi nello specifico delle misure che devono garantire la correttezza e la legittimità del trattamento dei dati lungo tutta la “filiera” del telemarketing.

Tali misure, entrate in vigore il 28 settembre 2024, consistono nella raccolta di consensi specifici per le singole finalità (marketing, profilazione, ecc.) e nell’obbligo di informare in maniera precisa le persone contattate sull’uso dei loro dati, assicurando il pieno esercizio dei diritti previsti dalla normativa privacy (opposizione al trattamento, rettifica o aggiornamento dei dati).

Vediamo quali sono le regole del Codice, che non valgono per gli operatori che utilizzano il telefono per verificare la soddisfazione della clientela o che svolgono attività promozionali tramite sms o applicazioni.

Orari fissi per le chiamate

Il Codice di condotta vieta le chiamate nei giorni festivi e la domenica. Gli operatori possono contattare gli utenti solo in due fasce orarie distinte:

  • dal lunedì al venerdì dalle ore 9.00 alle ore 20.00;
  • nei giorni prefestivi e il sabato dalle ore 10.00 alle ore 19.00.

Il Codice consente una tolleranza massima di 15 minuti rispetto agli orari indicati. La telefonata senza risposta o non effettuata perché l’utente è occupato è considerata come non effettuata.

Divieto di telefonate anonime e consenso

Gli operatori non possono effettuare telefonate che non consentono all’utente di identificare il numero dal quale viene effettuata la chiamata. I numeri devono essere visibili sul telefono e l’utente deve avere la possibilità di richiamare. Chi effettua la chiamata inoltre deve identificarsi in modo chiaro e ottenere il consenso specifico alla chiamata avente finalità promozionali.

Il consenso per finalità di telemarketing è valido ai sensi dell’art. 12 del Codice di condotta se informato, libero, specifico, inequivocabile e documentabile.

Script conforme al Codice di Condotta

Il committente deve mettere a disposizione del  call center, con modalità documentate e verificabili, uno script conforme al Codice di condotta e applicabile a ogni campagna di telemarketing o teleselling. Lo script deve contenere le istruzioni che gli operatori devono seguire e rispettare nel contare gli utenti. Il committente deve fornire inoltre il testo dell’informativa relativa al trattamento dei dati personali, anch’essa conforme al Codice di condotta, da sottoporre ai soggetti interessati.

Sanzioni per chi viola le regole

Di estremo interesse infine l’articolo 16 dedicato al controllo dell’origine del contratto con l’affidatario. L’accordo deve prevede un meccanismo sanzionatorio, che preveda l’applicazione di una penale, il mancato riconoscimento della provvigione o l’annullamento della stessa, se il contratto viene stipulato in mancanza di un contatto legittimo.

Le penali devono essere parametrate rispetto elle provvigioni e alla percentuale dei contratti sottoposti a controllo, per assolvere alle finalità dissuasive da perseguire. A tale fine si può stabilire ad esempio che la penale sia pari al triplo della provvigione prevista per ogni contratto e non richiesta oppure richiesta in ripetizione per ogni contratto.

 

Vedi le altre notizie di civile

smishing

Smishing: cos’è e come difendersi Cos'è e come funziona lo smishing e i suggerimenti del Garante per proteggersi da questa forma di phishing che sfrutta sms e messaggistica

Smishing: cos’è

Lo Smishing (o phishing tramite SMS) è una forma di truffa che utilizza messaggi di testo e sistemi di messaggistica (compresi quelli delle piattaforme social media) per appropriarsi di dati personali a fini illeciti (ad esempio, per poi sottrarre denaro da conti e carte di credito). Il Garante privacy ha dedicato una scheda informativa per proteggersi da questa forma di phishing.

Come funziona

In genere i messaggi di smishing invitano i destinatari a compiere azioni (cliccare link, ecc.) o fornire informazioni con urgenza, per non rischiare danni (es: blocco di utenze, blocco della carta di credito o del conto) o sanzioni.

I truffatori (“smisher”), spiega il Garante, “inviano messaggi per chiedere ad esempio alle vittime di:

  • cliccare un link che conduce ad un form online in cui inserire dati personali, dati bancari o della carta di credito, ecc.. Il link da cliccare può anche essere utilizzato per installare sullo smartphone della vittima programmi malevoli capaci di carpire dati personali conservati sul dispositivo o addirittura in grado di accedere alle app e ai programmi con cui si gestiscono Internet banking, carte di credito, ecc.;
  • scaricare un allegato che può contenere programmi malevoli capaci di prendere il controllo dello smartphone o accedere ai dati in esso contenuti;
  • rispondere ai messaggi ricevuti inviando dati personali (il codice fiscale, il PIN del Bancomat o quello utilizzato per l’Internet banking, il numero della carta, il codice di sicurezza della carta, i dati dell’OTP cioè della password temporanea per eseguire operazioni sul conto bancario e sulla carta di credito, ecc.);
  • chiamare un numero di telefono, dove poi un finto operatore o un sistema automatizzato chiedono di fornire informazioni di vario tipo, compresi dati bancari e/o della carta di credito”.

Perchè lo smishing è pericoloso

Gli smisher fanno leva sul timore legato ad un rischio incombente per convincere le vittime ad abbassare il livello di prudenza e a reagire d’impulso. Per questo, invita l’authority, è bene “diffidare dei messaggi che hanno toni ultimativi e intimidatori o che spingono ad agire con fretta e urgenza. Ad es. il messaggio di una banca che segnala un account compromesso da verificare con urgenza; offerte di sconti straordinari da usufruire subito; amministrazioni pubbliche che segnalano la richiesta di dati, sanzioni da pagare, o anomalie da verificare, ecc.

Come difendersi dallo smishing

Il Garante invita a “non comunicare mai dati e informazioni personali o dati come codici di accesso, PIN, password, dati bancari e della carta di credito a sconosciuti” ricordando, in ogni caso, “che istituzioni e banche non richiedono di fornire dati personali tramite SMS o messaggistica istantanea, specie se si tratta di informazioni come PIN, password, codici di autorizzazione, ecc., che, di solito, loro stessi ci invitano a mantenere strettamente riservate”.

In generale, meglio non conservare le credenziali (password, PIN, codici) di dati bancari o della carta di credito sullo smartphone. In caso di intrusioni informatiche sul dispositivo (tramite malware, ad esempio), questi dati potrebbero infatti essere facilmente sottratti.

Per proteggere i conti bancari e carte di credito, inoltre, “è bene controllare spesso le movimentazioni ed eventualmente attivare sistemi di alert automatico che avvisano l’utente di ogni operazione effettuata”.

Se si ricevono messaggi da sconosciuti, “non cliccare sui link in essi contenuti e non aprire eventuali allegati: potrebbero contenere virus o programmi capaci di prendere il controllo di computer e smartphone. Stessa accortezza con i messaggi che provengono da numerazioni anomale o particolari (ad esempio: numeri con poche cifre), oppure da utenze identificate da un nome con il numero nascosto. In questi casi è sempre bene fermarsi a riflettere, prestando la massima attenzione al contenuto e al mittente del messaggio”. Infine, se si ricevono messaggi che invitano a richiamare determinati numeri di aziende o istituzioni, controllare SEMPRE prima se tali numeri corrispondono a quelli ufficiali (ad esempio consultando i siti web istituzionali). Per estrema sicurezza, invece di contattare i numeri ricevuti, ci si può rivolgere al centralino o all’URP dell’azienda o dell’istituzione chiendendo di farsi mettere in contatto con l’ufficio che dovrebbe aver inviato il messaggio”.

Cosa fare

Ad ogni modo, chi ha il dubbio di essere vittima di smishing è consigliabile che contatti “immediatamente la banca o il gestore della carta di credito attraverso canali di comunicazione conosciuti e affidabili per segnalare l’accaduto e, in caso di sottrazione di denaro, richiedere il blocco delle transazioni. In questa seconda ipotesi, si può anche segnalare la truffa subita alle autorità di polizia“.

trattamento dati sanitari

Trattamento dati sanitari: le regole del Garante Il Garante ha promosso l'adozione di nuove regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica, pubblicate in GU il 5 giugno 2024

Regole deontologiche trattamento dati sanitari

Sul trattamento dei dati sanitari per fini statistici o di ricerca, il Garante Privacy ha predisposto delle regole deontologiche pubblicate in Gazzetta Ufficiale il 5 giugno scorso.

Le regole muovono dalla recente riforma dell’articolo 110 del Codice privacy, a seguito della quale il Garante Privacy ha individuato le prime garanzie da adottare per il trattamento dei dati personali a scopo di ricerca medica, biomedica e epidemiologica, riferiti a pazienti deceduti o non contattabili.

La modifica dell’art. 110 Codice Privacy

Con la modifica dell’art. 110, infatti, chi effettua attività di ricerca medica – quando risulta impossibile informare gli interessati o l’obbligo implica uno sforzo sproporzionato, oppure rischia di pregiudicare gravemente i risultati dello studio – non deve più sottoporre il progetto di ricerca e la relativa valutazione di impatto alla consultazione preventiva, essendo sufficiente rispettare le specifiche garanzie previste dal Garante.

L’Autorità ha infatti stabilito che in tutti questi casi i titolari del trattamento – oltre ad acquisire, come già previsto, il parere favorevole del competente Comitato etico a livello territoriale sul progetto di ricerca – dovranno motivare e documentare le ragioni etiche o organizzative in base alle quali non hanno potuto acquisire il consenso dei pazienti nonché, effettuare e pubblicare la valutazione di impatto, dandone comunicazione al Garante.

Con lo stesso provvedimento l’Autorità, alla luce della riforma normativa e considerato il rilevante impatto delle nuove tecnologie nelle modalità di realizzazione dell’attività di ricerca, ha promosso l’adozione delle nuove regole deontologiche per trattamenti a fini statistici o di ricerca scientifica.

Le faq del Garante

Sullo stesso tema il Garante ha fornito chiarimenti sul trattamento dei dati da parte degli IRCCS, ossia “quegli enti del Servizio sanitario nazionale che, secondo standard di eccellenza, perseguono finalità di ricerca nel campo biomedico e in quello dell’organizzazione e gestione dei servizi sanitari ed effettuano prestazioni di ricovero e cura di alta specialità”, pubblicando apposite faq sul proprio sito.

oblio oncologico

Oblio oncologico: le faq del Garante Oblio oncologico: dal Garante Privacy informazioni utili e indicazioni per cittadini e imprese sul diritto introdotto dalla legge n. 193/2023

Oblio oncologico, cos’è

Che cos’è il diritto all’oblio oncologico? Le banche, le assicurazioni e i datori di lavoro possono chiedere informazioni su una patologia oncologica conclusa da diversi anni? Una persona clinicamente guarita può adottare un bambino? A queste e ad altre domande rispondono le FAQ pubblicate dal Garante per la protezione dei dati personali.

Le faq del Garante

L’obiettivo è quello di prevenire le discriminazioni e tutelare i diritti delle persone che sono guarite da malattie oncologiche.

Il documento, pubblicato nella newsletter del 9 agosto 2024, oltre a fornire chiarimenti ai cittadini sul diritto all’oblio oncologico (legge n. 193/2023) dà indicazioni utili a tutti i datori di lavoro pubblici e privati e a banche, assicurazioni, intermediari del credito e finanziari affinché possano applicare correttamente la nuova normativa.

Le FAQ sull’oblio oncologico insieme ad un’utile scheda in materia sono consultabili sul sito internet del Garante privacy.

Cosa stabilisce la legge sull’oblio oncologico

Nelle FAQ viene spiegato che il compito di vigilanza sulla corretta applicazione della legge è affidato al Garante Privacy, il quale in caso di eventuali violazioni della disciplina sulla protezione dei dati potrà infliggere le sanzioni previste dal Gdpr.

Inoltre viene chiarito che la normativa vieta a banche, assicurazioni, e a tutti i datori di lavoro (sia nella fase di selezione del personale sia durante il rapporto lavorativo), di richiedere all’utente e al dipendente informazioni su una patologia oncologica da cui sia stato precedentemente affetto e il cui trattamento si sia concluso – senza episodi di recidiva – da più di dieci anni (ridotti a cinque se il soggetto aveva meno di 21 anni al momento in cui è insorta la malattia).

La legge stabilisce anche particolari tutele per le coppie che presentano domanda di adozione al Tribunale per i minorenni. Il Tribunale, nella selezione delle coppie, non può raccogliere informazioni sulle patologie oncologiche pregresse quando siano trascorsi più di dieci anni dalla conclusione del trattamento della patologia – in assenza di recidive o ricadute – o più di cinque anni se la patologia si è manifestata prima del compimento del 21esimo anno di età.

La regola vale anche in caso di adozione di minori stranieri.

 

Leggi anche Articolo di stampa e diritto all’oblio

ddl intelligenza artificiale

Ddl Intelligenza artificiale: parere favorevole del Garante Il Garante Privacy ha dato parere favorevole al ddl intelligenza artificiale chiedendo però ulteriori misure a protezione dei dati personali

Ddl Intelligenza artificiale, sì ma con le dovute cautele

Ddl Intelligenza artificiale: parere favorevole del Garante Privacy sullo schema di disegno di legge governativo sull’IA, recante anche delega legislativa per l’adeguamento al Regolamento Ue sull’Intelligenza Artificiale (n.2024/1689 – AI Act).

Leggi l’articolo sul ddl varato dal Governo

Il disegno di legge disciplina ricerca, sperimentazione, sviluppo, adozione e applicazione dei sistemi e modelli di Intelligenza Artificiale (IA) nei diversi settori della società (sanità, giustizia, lavoro e professioni, sicurezza e difesa nazionale, etc.).

Maggiore tutela dei dati personali

Nel dare il proprio parere favorevole al testo, il Garante ha tuttavia chiesto al Governo di integrarlo in più parti per garantire una maggiore tutela dei dati personali dei cittadini.

In particolare l’Autorità ha chiesto di introdurre un nuovo articolo per precisare che i trattamenti di dati personali effettuati attraverso i sistemi di intelligenza artificiale devono rispettare la normativa privacy nazionale ed europea.

Age verification

Il testo, inoltre, dovrà essere integrato con uno specifico riferimento a sistemi adeguati di verifica dell’età (c.d. age verification) in grado di garantire limitazioni o divieti all’uso dei sistemi di IA da parte dei minori.

Nel caso poi di utilizzo di sistemi di IA in ambito sanitario ad alto rischio, il Garante ha chiesto di indicare particolari limitazioni per l’utilizzo dei dati (conservazione, divieto di trasmissione, trasferimento o comunicazione) e la preferenza per l’uso di dati sintetici o anonimi.

Autorità competente

È stato inoltre richiesto di indicare il Garante – come previsto nell’AI Act – quale Autorità competente per i sistemi di Intelligenza Artificiale ad alto rischio utilizzati ad es. per le attività di law enforcement, identificazione biometrica remota, riconoscimento delle emozioni, gestione delle frontiere, amministrazione della giustizia e processi democratici.

revenge porn

Revenge porn: come fare una segnalazione Revenge porn: come funziona il servizio di segnalazione online del Garante Privacy per prevenire il fenomeno del Revenge porn

Segnalazione Revenge Porn

Revenge porn: il Garante Privacy ha reso disponibile il servizio online per effettuare una segnalazione, oltre ad un’utile scheda informativa per prevenire e difendersi da questo tipo di fenomeni proteggendo e gestendo correttamente i propri dati personali.

Cos’è il revenge porn

Il revenge porn, si ricorda, consiste nell’invio, consegna, cessione, pubblicazione o diffusione, da parte di chi li ha realizzati o sottratti e senza il consenso della persona cui si riferiscono, di immagini o video a contenuto sessualmente esplicito destinati a rimanere privati. Tale diffusione avviene di solito a scopo vendicativo (ad esempio per “punire” l’ex partner che ha deciso di porre fine ad un rapporto amoroso), per denigrare pubblicamente, ricattare, bullizzare o molestare. Si tratta quindi di una pratica che può avere effetti drammatici a livello psicologico, sociale e anche materiale sulla vita delle persone che ne sono vittime.

Protezione dati personali

La prima e più importante forma di difesa, ricorda il Garante, sono sempre la consapevolezza e la prudenza. Spesso accade che i dati personali vengano immessi dagli stessi interessati nel circuito di messaggistica e social network, sfuggendo così ogni controllo e rendendone impossibile la cancellazione una volta diffusi.

Per proteggere i dati personali eventualmente presenti nei tuoi dispositivi (smartphone, pc o tablet), occorre utilizzare sempre adeguate misure di sicurezza: ad esempio, password che proteggono i dispositivi e/o le cartelle in cui conservi i file, sistemi di crittografia per rendere illeggibili i file agli altri, sistemi anti-virus e anti-intrusione per i dispositivi.

Se si ricevono foto o immagini a contenuto sessualmente esplicito che riguardano altre persone, il Garante consiglia di evitare “di essere complice di comportamenti illeciti nei confronti delle stesse” di non diffonderle, cancellarle e se si ritiene di fare una segnalazione alla Polizia postale.

A maggior ragione quando tali fenomeni riguardano i minori, come vittime o destinatari di contenuti.

“Se sei un genitore – consiglia il Garante – evita di far utilizzare dispositivi digitali ai tuoi figli piccoli se sono da soli, monitora il loro comportamento online e spiega con chiarezza perché è bene evitare di interagire con sconosciuti e diffondere informazioni personali, soprattutto foto e filmati, tramite messaggi e social network (vedi anche la pagina informativa www.gpdp.it/minori).

Come prevenire il Revenge porn

Nel caso in cui si abbia un fondato timore che immagini a contenuto sessualmente esplicito possano essere diffuse senza il proprio consenso è possibile presentare una segnalazione al Garante ai sensi degli art. 144-bis del Codice in materia di protezione dei dati personali e 33-bis del regolamento n. 1/2019 del Garante.

Per farlo è possibile utilizzare l’apposito form reso disponibile nel sito istituzionale dell’Autorità, in cui dovranno essere indicate le piattaforme di condivisione di contenuti (social network, messaggistica, ecc.) attraverso le quali si teme la diffusione, nonché le ragioni che fondano il timore che la condotta pregiudizievole possa essere posta in essere.

Dovranno poi essere trasmesse all’Autorità – tramite un link che sarà comunicato dopo la presentazione della segnalazione – le immagini o i contenuti sessualmente espliciti dalla cui divulgazione ci si intenda tutelare.

Il Garante, in presenza dei presupposti indicati dalle norme di riferimento, adotterà un provvedimento, che sarà notificato alle piattaforme coinvolte nel tentativo di contrastare la temuta diffusione.

Questo strumento può essere utilizzato non solo dagli adulti, ma anche dai minori.

Si ricorda che alla tutela che accorda il Garante può sempre aggiungersi quella prestata dalla Polizia Postale, alla quale è possibile rivolgersi per denunciare situazioni in cui siano ravvisabili gli estremi di una condotta penalmente rilevante (come nel caso in cui si subiscano minacce o richieste estorsive).

Infine, rammenta l’autorità, il più importante accorgimento “è tenere alto il livello di prudenza nel condividere materiale a contenuto sessualmente esplicito, in quanto l’intervento del Garante non è in grado di assicurare, in termini assoluti, che l’evento temuto non si verificherà: la persona malintenzionata, ad esempio, potrebbe detenere immagini anche solo parzialmente diverse da quelle comunicate alla piattaforma vanificando così la misura adottata”.

vaccino anti papilloma

Vaccinazione anti Papilloma: il no del Garante Il Garante avverte formalmente la regione Puglia sulla vaccinazione anti Papilloma agli studenti e sulla richiesta vaccinazione anti Covid

Vaccinazione anti Papilloma a studenti: l’intervento del Garante Privacy

Violano la normativa privacy i trattamenti di dati personali previsti dalla legge regionale pugliese che introduce l’obbligo per gli studenti di scuole medie, superiori ed università, di presentare una certificazione in materia di vaccinazione al Papilloma virus (HPV) per potersi iscrivere ai relativi corsi di istruzione. È questo l’avvertimento formale inviato dal Garante per la protezione dei dati personali alla Regione Puglia, reso noto con un comunicato sul sito istituzionale.

Parola alla Consulta

L’Autorità evidenzia che – qualora la Corte Costituzionale dichiarasse la illegittimità della legge regionale pugliese, impugnata dal Governo – i trattamenti posti in essere dalla Regione non sarebbero conformi alla disciplina in materia di protezione dei dati personali, perché privi di una idonea base giuridica.  Ad analoga conclusione si giungerebbe, anche a prescindere da una eventuale pronuncia di illegittimità, poiché i trattamenti di dati non sarebbero comunque conformi ai principi di necessità e proporzionalità previsti dal Regolamento Ue (Gdpr).

Il Garante ricorda inoltre che il trattamento dei dati relativi alla salute è lecito solo in presenza di una legge dello Stato. Solo una norma uniforme a livello nazionale – peraltro per un vaccino non obbligatorio ai fini dell’iscrizione a scuola – può infatti prevedere l’acquisizione di documentazione sanitaria da parte delle autorità scolastiche così come l’onere da parte di studenti e famiglie di produrre tale documentazione.

L’avvertimento adottato nei confronti della Regione Puglia è stato comunicato al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome, e inviato alla Gazzetta ufficiale per la pubblicazione.

Violazioni anche sul vaccino Covid

L’Autorità ha registrato inoltre violazioni sul fronte della vaccinazione anti Covid, notificando all’Asl di Lecce le violazioni rilevate nell’ambito dell’istruttoria avviata lo scorso giugno, a seguito della notizia del mancato accesso in ospedale di alcuni tirocinanti, perché sprovvisti della quarta dose del vaccino anti-Covid.