Autore: Osservatorio Privacy
-
GPDP, Docweb 9555987, 25.2.2021 (1)
Massima (1) – Il trattamento di dati personali effettuato da parte del Ministero della salute nell’ambito del Sistema di allerta Covid-19 mediante l’App “Immuni” presenta una valutazione d’impatto, modificata secondo le indicazioni del Garante, contenente la previsione di misure adeguate a garantire il rispetto dei diritti e delle libertà degli interessati, che attenuano i rischi che potrebbero derivare dal trattamento, e un nuovo meccanismo per consentire in autonomia, a un soggetto risultato positivo, di caricare le TEK (Temporary Exposure Key) nel backend di Immuni e dunque di interagire direttamente con il sistema di allerta Covid-19 per comunicare l’esito positivo del referto, consentendo una maggior efficienza complessiva del sistema medesimo.
-
Autorizzazione al trattamento dei dati personali effettuato attraverso l’App Immuni (sistema di allerta Covid-19) da parte del Ministero della Salute
GPDP, Docweb n. 9555987 del 25 febbraio 2021 | Massime e Commento di Elena Guerri
-
Sviluppo di metodologie predittive e trattamento di dati da parte di Regioni e Province autonome nell’ambito dell’attività di collaborazione istituzionale con il Ministero della Salute
GPDP, Docweb nn. 9752177, 9752221, 9752260, 9752410, 9752299, 9752433, 9752490 e 9752524 del 24 febbraio 2022 | Massime e Commento di Cristina Moser
-
GPDP, Docweb 9793975, 21.7.2022 (2)
Massima (2) – L’eventuale materiale oggetto di segnalazione in tema di revenge porn di cui all’art. 144-bis del Codice in materia di protezione dei dati personali, che dovesse essere acquisito in chiaro dalla relativa piattaforma, deve essere conservato, a soli fini probatori, per dodici mesi a decorrere dal ricevimento del provvedimento utilizzando misure idonee a impedire la diretta identificabilità degli interessati da comunicarsi tempestivamente all’Autorità garante per la protezione dei dati personali.
-
GPDP, Docweb 9793975, 21.7.2022 (1)
Massima (1) – Va disposta, da parte dell’Internet Service Provider (ISP) gestore di una piattaforma online per la condivisione di contenuti digitali da parte degli utenti, l’immediata adozione di misure volte ad impedire la diffusione, sulla propria piattaforma, del materiale oggetto della segnalazione in materia di revenge porn, effettuata ai sensi dell’art. 144-bis del Codice in materia di protezione dei dati personali, con file contraddistinto mediante impronta di hash.
-
GPDP, Docweb 9793939, 21.7.2022 (2)
Massima (2) – L’eventuale materiale oggetto di segnalazione in tema di revenge porn di cui all’art. 144-bis del Codice in materia di protezione dei dati personali, che dovesse essere acquisito in chiaro dalla relativa piattaforma, deve essere conservato, a soli fini probatori, per dodici mesi a decorrere dal ricevimento del provvedimento utilizzando misure idonee a impedire la diretta identificabilità degli interessati da comunicarsi tempestivamente all’Autorità garante per la protezione dei dati personali.
-
GPDP, Docweb 9793939, 21.7.2022 (1)
Massima (1) – Va disposta, da parte dell’Internet Service Provider (ISP) gestore di una piattaforma online per la condivisione di contenuti digitali da parte degli utenti, l’immediata adozione di misure volte ad impedire la diffusione, sulla propria piattaforma, del materiale oggetto della segnalazione in materia di revenge porn, effettuata ai sensi dell’art. 144-bis del Codice in materia di protezione dei dati personali, con file contraddistinto mediante impronta di hash.
-
Revenge Porn: l’impronta di hash su immagini e video oggetto di segnalazione ex art. 144-bis Codice Privacy
GPDP, Docweb nn. 9793939 e 9793975 del 21 luglio 2022 | Massime e Commento di Stefania Calosso
-
GPDP, Docweb 9544504, 27.1.2021 (3)
Massima (3) – La condotta dell’interessata non rileva ai fini della valutazione dell’illiceità del trattamento in relazione alla violazione dei dati personali, là dove la violazione sia comunque imputabile all’inadeguatezza delle misure tecniche e organizzative implementate, a prescindere dalla supposta incidenza causale della condotta dell’interessato medesimo sugli eventi. Né rileva, ai fini della valutazione dell’illecito, la circostanza che il terzo, a cui siano stati comunicati illecitamente i dati relativi alla salute dell’interessata (causa del ricovero ospedaliero), sia un prossimo congiunto che li abbia comunque appresi in altro modo.
-
GPDP, Docweb 9544505, 27.1.2021 (2)
Massima (2) – Nell’ambito della gestione dei dati personali dei pazienti, con particolare attenzione a quelli particolari, la cui indebita comunicazione o diffusione sarebbe in grado di incidere significativamente sui diritti e le libertà degli interessati, l’Azienda sanitaria è tenuta a mettere in atto misure tecniche ed organizzative adeguate a garantire un livello di sicurezza adeguato al rischio. In questo senso, la mera specificazione, nel documento di attribuzione del ruolo di incaricato del trattamento, prima, e autorizzato del trattamento, poi, conferito all’infermiera di una struttura sanitaria, si è da ritenersi insufficiente a garantire l’effettività dei principi inerenti al trattamento dei dati personali, in particolare di correttezza e trasparenza, se non corroborata da ulteriori adeguate misure tecniche e/o organizzative – richieste dall’art. 5, par. 1, lett. f) e dall’art. 32 GDPR – che tengano nella dovuta considerazione il particolare contesto ospedaliero in cui siffatti trattamenti di dati personali, anche estremamente delicati, hanno luogo (la circostanza che un’infermiera di un reparto di ginecologia si trovi a doversi destreggiare contemporaneamente tra due o più pazienti non rappresenta infatti un evento imprevedibile, tale da giustificare la comunicazione dei dati dell’interessata, relativi all’interruzione volontaria della gravidanza, al di lei marito, in presenza di un diniego espresso dalla paziente).