vaccino anti papilloma
12 Ago
Amministrativo, Amministrativo - Primo piano

Vaccinazione anti Papilloma: il no del Garante Il Garante avverte formalmente la regione Puglia sulla vaccinazione anti Papilloma agli studenti e sulla richiesta vaccinazione anti Covid

Vaccinazione anti Papilloma a studenti: l’intervento del Garante Privacy

Violano la normativa privacy i trattamenti di dati personali previsti dalla legge regionale pugliese che introduce l’obbligo per gli studenti di scuole medie, superiori ed università, di presentare una certificazione in materia di vaccinazione al Papilloma virus (HPV) per potersi iscrivere ai relativi corsi di istruzione. È questo l’avvertimento formale inviato dal Garante per la protezione dei dati personali alla Regione Puglia, reso noto con un comunicato sul sito istituzionale.

Parola alla Consulta

L’Autorità evidenzia che – qualora la Corte Costituzionale dichiarasse la illegittimità della legge regionale pugliese, impugnata dal Governo – i trattamenti posti in essere dalla Regione non sarebbero conformi alla disciplina in materia di protezione dei dati personali, perché privi di una idonea base giuridica.  Ad analoga conclusione si giungerebbe, anche a prescindere da una eventuale pronuncia di illegittimità, poiché i trattamenti di dati non sarebbero comunque conformi ai principi di necessità e proporzionalità previsti dal Regolamento Ue (Gdpr).

Il Garante ricorda inoltre che il trattamento dei dati relativi alla salute è lecito solo in presenza di una legge dello Stato. Solo una norma uniforme a livello nazionale – peraltro per un vaccino non obbligatorio ai fini dell’iscrizione a scuola – può infatti prevedere l’acquisizione di documentazione sanitaria da parte delle autorità scolastiche così come l’onere da parte di studenti e famiglie di produrre tale documentazione.

L’avvertimento adottato nei confronti della Regione Puglia è stato comunicato al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome, e inviato alla Gazzetta ufficiale per la pubblicazione.

Violazioni anche sul vaccino Covid

L’Autorità ha registrato inoltre violazioni sul fronte della vaccinazione anti Covid, notificando all’Asl di Lecce le violazioni rilevate nell’ambito dell’istruttoria avviata lo scorso giugno, a seguito della notizia del mancato accesso in ospedale di alcuni tirocinanti, perché sprovvisti della quarta dose del vaccino anti-Covid.

gdpr vale per wikipedia
06 Ago
Amministrativo, Amministrativo - Primo piano

Il GDPR vale anche per Wikipedia Il Garante Privacy ricorda che anche Wikipedia, la nota enciclopedia online deve rispettare le regole sulla protezione dei dati personali, sul giornalismo e la manifestazione del pensiero

GDPR e Wikipedia

GDPR vale anche per Wikipedia, la nota enciclopedia online. “Il trattamento di dati personali effettuato da Wikipedia ricade sotto il GDPR e ai contenuti pubblicati si applicano le norme sull’attività giornalistica e la manifestazione del pensiero”. È quanto ha stabilito il Garante per la protezione dei dati personali, con provvedimento del 9 maggio scorso, dopo il reclamo di un interessato che non aveva visto soddisfatta la richiesta di cancellazione di un articolo biografico, relativo a una vicenda giudiziaria, da parte di Wikipedia Foundation, la no-profit Usa creatrice del progetto dell’enciclopedia online.

Wikipedia host neutrale

Per quanto riguarda il trattamento di dati personali effettuato negli articoli, la Fondazione, che non ha stabilimento in Europa, ritiene che Wikipedia non offra un servizio agli utenti nella Ue e di non essere quindi vincolata al rispetto del Regolamento generale sulla protezione dati: l’enciclopedia sarebbe solo un “host neutrale” che “ospita” i contenuti inseriti dalla comunità di volontari.

Wikipedia servizio di informazione

In realtà, per il Garante, “Wikipedia non solo offre un servizio di informazione su una grande varietà di argomenti, ma lo rivolge anche al mercato europeo, come dimostrano la costante azione di indirizzo e verifica degli standard qualitativi dei contenuti rivolti dalla Fondazione alla comunità e la creazione di versioni del sito dedicate agli utenti di uno o più Stati membri”. Si realizza così – spiega il Garante – “quel requisito di intenzionalità nell’offerta di servizi che permette di applicare il GDPR a un titolare del trattamento stabilito in un Paese terzo e senza stabilimento nella Ue”.

Il provvedimento del Garante

L’Autorità ha comunque respinto l’istanza di cancellazione dell’interessato, perché il trattamento di dati personali per finalità giornalistiche, anche senza consenso, “è lecito se rispetta i diritti e la dignità delle persone e il principio dell’essenzialità dell’informazione. Allo stesso modo, è lecita anche la permanenza dell’articolo nell’archivio dell’enciclopedia online: gli archivi di siti e giornali, anche cartacei, rivestono infatti una importante funzione ai fini della ricostruzione storica degli eventi”.

Il Garante ha tuttavia disposto la deindicizzazione dell’articolo.

“La presenza online della pagina – infatti – vanificherebbe il beneficio del limite della conoscibilità posto alle condanne inferiori ai due anni, che non sono inserite nel casellario giudiziario, mentre nel frattempo è venuto a scemare l’interesse pubblico per la vicenda”.

Vedi tutte le news di diritto amministrativo

giurista risponde
09 Lug
Civile, Civile - Primo piano, Il giurista risponde, Il giurista risponde - Primo piano

Violazione del diritto alla riservatezza e risarcimento del danno Quali sono le condizioni e i criteri per il risarcimento del danno da violazione del diritto alla riservatezza?

Quesito con risposta a cura di Manuel Mazzamurro e Incoronata Monopoli

 

Il danno da violazione del diritto alla riservatezza, dovendo necessariamente consistere in un profilo consequenziale rispetto al fatto dannoso denunciato, dev’essere essere oggetto di specifica allegazione e di prova, anche tramite il ricorso al valore rappresentativo di presunzioni semplici, ossia anche attraverso l’indicazione degli elementi costitutivi e delle specifiche circostanze di fatto da cui desumerne, sebbene in via presuntiva, l’esistenza. – Cass., sez. III, ord. 16 aprile 2024, n. 10155.

 Nel caso di specie, la Suprema Corte è chiamata a valutare se il danno da violazione del diritto alla riservatezza sia soltanto patrimoniale o anche morale ed esistenziale.

Il Tribunale adito, in parziale accoglimento dei ricorsi proposti dai danneggiati, condannava l’azienda sanitaria a rifondere i predetti; tenuto conto, altresì, che quest’ultima aveva proceduto ad oscurare i dati sensibili dei medesimi.

Viene proposto, quindi, ricorso, ex art. 380bis, per Cassazione, lamentando i ricorrenti che il danno da violazione del diritto alla riservatezza non sia soltanto patrimoniale, ma anche morale ed esistenziale; e che l’art. 15 del codice della protezione dei dati personali statuisca un generale principio di “indemnisation” integrale del danno non patrimoniale da trattamento dei dati personali; che la danneggiata abbia subito un danno alla vita di coppia ed alla sfera sessuale, un danno alla vita di relazione, all’immagine, al nome, all’onore; in ordine alla quantificazione del danno, che si richiami la definizione del danno non patrimoniale come prevista dall’art. 138 del codice delle assicurazioni (Cass., sez. III, 27 dicembre 2014, n. 1608).

La Suprema Corte ha ricordato quanto stabilito dalla pronunzia della Corte cost. 6 ottobre 2014, n. 235 e dell’entrata in vigore della L. 124/2017 (che all’art. 1, comma 17, ha modificato l’art. 138 cod. ass., richiamato dai ricorrenti), secondo cui il giudice del merito sia tenuto “a valutare tanto le conseguenze subite dal danneggiato nella sua sfera morale (che si collocano nella dimensione del rapporto del soggetto con se’ stesso), quanto quelle incidenti sul piano dinamico-relazionale della sua vita (che si dipanano nell’ambito della relazione del soggetto con la realtà esterna, con tutto ciò che, in altri termini, costituisce “altro da sé”)” (Cass., sez. III, 31 gennaio 2019, n. 2788; Cass., sez. III, 21 luglio 2017, n. 21939).

Di talché, è necessario che il danno preteso sia oggetto di specifica allegazione e di prova, dovendo necessariamente consistere in un profilo consequenziale rispetto al fatto dannoso denunciato (non potendo esaurirsi nella figura del c.d. danno-evento, ossia in re ipsa) (Cass., sez. III, ord. 10 luglio 2023, n. 19551; Cass., sez. III, 13 ottobre 2016, n. 20643; Cass., sez. III, ord. 18 novembre 2022, n. 34026).

Nel caso all’esame, sul punto, giova sottolineare come nella specie il Tribunale ha avuto cura di evidenziare che la divulgazione di informazioni in violazione degli obblighi di riservatezza e di privacy avvenuta in modo illegittimo (in particolare, circa gli aspetti inerenti allo stato di salute e alla vita sessuale della odierna parte ricorrente, nonché alle prestazioni sanitarie cui era stata sottoposta, e alle coordinate bancarie del coniuge su cui accreditare il rimborso ottenuto) determinò l’odierna azienda controricorrente a provvedere in un tempo brevissimo (nelle ore immediatamente successive alla pubblicazione) ad oscurare i dati sensibili presenti nel testo diffuso.

Di conseguenza, il Tribunale ha correttamente considerato il complesso degli elementi istruttori documentali e testimoniali acquisiti ed è pervenuto alla quantificazione e liquidazione del danno in via equitativa, in modo unitario e omnicomprensivo e proporzionato al danno di natura non patrimoniale subìto in concreto dalla parte ricorrente.

Per tale motivo, il ricorso è inammissibile.

PRECEDENTI GIURISPRUDENZIALI:

-Conformi:  Cass., sez. III, 31 gennaio 2019, n. 2788; Cass., sez. III, 21 luglio 2017, n. 21939; Cass., sez. III, ord. 10 luglio 2023, n. 19551; Cass., sez. III, 13 ottobre 2016, n. 20643; Cass., sez. III, ord. 18 novembre 2022, n. 34026

-Difformi:   Cass., sez. III, 27 dicembre 2014, n. 1608

*Contributo in tema di “Violazione del diritto alla riservatezza e risarcimento del danno”, a cura di Manuel Mazzamurro e Incoronata Monopoli, estratto da Obiettivo Magistrato n. 75 / Giugno 2024 – La guida per affrontare il concorso – Dike Giuridica

metadati mail lavoratori garante
20 Giu
Lavoro, Lavoro - Primo piano

Mail lavoratori: le indicazioni del Garante Il Garante Privacy aggiorna il documento sul trattamento dei metadati degli account e-mail utilizzati dei dipendenti

Metadati e-mail lavoratori: il provvedimento del Garante Privacy

Con il provvedimento n. 364 del 6 giugno 2024 il Garante Privacy ha provveduto ad aggiornare il documento “programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”. Questo documento, che costituisce l’allegato 1 del provvedimento 3634, ne costituisce parte integrante.

Definizione e tempi conservazione metadati

Il provvedimento si occupa in particolare della definizione dei meta dati e della durata di conservazione dei meta dati degli account di posta elettronica utilizzati dei dipendenti. Questo perché c’è il rischio che i programmi di servizi informatici per la gestione della posta elettronica, anche in modalità cloud, possano procedere alla raccolta preventiva e generalizzata, per impostazione predefinita, dei meta dati degli account.

Cosa sono i metadati

I metadati a cui si riferisce il provvedimento sono informazioni registrate nei log che vengono generati dai sistemi server che gestiscono lo smistamento della posta elettronica e delle postazioni relative alle interazioni tra i server interagenti e tra questi ultimi e i client. Ne costituiscono un esempio gli indirizzi email di mittente e destinatario, gli indirizzi IP dei server o dei client, gli orari  di invio, di trasmissione, ritrasmissione e ricezione, la dimensione dei messaggi e gli allegati.

I metadati di cui si occupa il provvedimento non vanno confusi con il contenuto del messaggio di posta elettronica. Questi dati infatti restano a disposizione dell’utente lavoratore. In relazione al contenuto testuale della e-mail pertanto non sono previsti nuovi adempimenti o responsabilità a carico del titolare del trattamento.

Conservazione dei metadati

Detto questo, il Garante della Privacy fornisce le informazioni necessarie ai datori di lavoro per consentire il funzionamento corretto e l’utilizzo regolare della posta elettronica, comprese le garanzie necessarie di sicurezza informatica.

In particolare,  quanto riguarda la disciplina dei controlli a distanza precisa il Garante precisa che lattività di raccolta e conservazione dei soli mercati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, allesito di valutazioni tecniche nel rispetto del principio di responsabilizzazione, si ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni… Eventuale conservazione per un termine ancora più ampio e sì potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessario lestensione, comprovando adeguatamente (…) le specificità della realtà tecnica e organizzativa del titolare. Spetta in ogni caso il titolare adottare tutte le misure tecniche organizzative per assicurare il rispetto del principio di limitazione della finalità, laccessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati”.  

Responsabilità dei datori di lavoro

Sulle eventuali responsabilità dei datori di lavoro  il Garante ricorda che la raccolta generalizzata e la conservazione dei meta dati che si riferiscono all’utilizzo della posta elettronica da parte dei dipendenti, per lunghi periodi di tempo, in mancanza di idonei requisiti giuridici, può consentire al datore di lavoro di acquisire informazioni personali e relativi alle opinioni del dipendente che non rilevano per valutarne l’attitudine professionale.

I titolari dei trattamenti sono tenuti ad effettuare la raccolta e la conservazione dei log nel rispetto dei principi di correttezza e di trasparenza. I lavoratori pertanto devono essere adeguatamente informati sul trattamento dei loro dati se si riferiscono a comunicazione elettroniche che li riguardano. A tal fine gli stessi devono essere resi edotti delle caratteristiche del trattamento, con particolare riguardo alla durata della conservazione dei dati e ad eventuali controlli.

I tempi di conservazione dei meta dati devono essere proporzionati alle finalità da perseguire. La mancata definizione in misura proporzionale dei tempi di conservazione comportano la violazione del principio di limitazione della conservazione, contemplato dall’articolo 5 del GDPR.

I datori di lavoro pubblici e privati per evitare responsabilità amministrative e penali devono quindi adottare tutti gli accorgimenti necessari per conformare i trattamento dei dati dei dipendenti alla disciplina di protezione dei dati e a quella di settore. Il datore di lavoro è tenuto quindi, in relazione ai servizi forniti in modalità cloud o as a service, a rispettare la normativa di protezione dei dati personali anche con riferimento al periodo di conservazione dei metadati.

Allegati