Il Garante Privacy su dati biometrici, abbonamenti, siti di contatto tra medici e pazienti e archivio digitale delle intercettazioni

Lavoro: no all’uso del riconoscimento facciale per controllo presenze. Il riconoscimento facciale per controllare le presenze sul posto di lavoro viola la privacy dei dipendenti. Così il Garante Privacy ha bocciato la pratica posta in essere da alcune società - impegnate a vario titolo presso lo stesso sito di smaltimento dei rifiuti - che trattavano illecitamente i dati biometrici del personale. Non esiste, infatti, al momento alcuna norma che consenta l’uso di dati biometrici per svolgere una tale attività. Le cinque società sono state sanzionate rispettivamente di 70mila, 20mila, 6mila, 5mila e 2mila euro, per aver trattato in modo illecito i dati biometrici di un numero elevato di lavoratori.

I controlli dell’Autorità sono scattati a seguito dei reclami di diversi dipendenti. Il Garante ha anche evidenziato i particolari rischi per i diritti dei lavoratori connessi all’uso dei sistemi di riconoscimento facciale, alla luce delle norme e delle garanzie previste sia nell’ordinamento nazionale che in quello europeo. È stato infatti accertato che tre aziende avevano condiviso per più di un anno lo stesso sistema di rilevazione biometrica, oltretutto senza aver adottato misure tecniche e di sicurezza adeguate. Inoltre il medesimo “sistema”, ritenuto illecito dall’Autorità, era utilizzato presso altre nove sedi dove operava un’altra delle società sanzionate. Le aziende, infine, non avevano fornito una informativa chiara e dettagliata ai lavoratori né avevano effettuato la valutazione d’impatto prevista dalla normativa privacy.

Trasporti: più tutele per i dati degli abbonati. Il Garante Privacy ha sanzionato un’azienda di trasporto dell’Emilia Romagna con 50mila euro di multa per aver utilizzato un modulo per la sottoscrizione degli abbonamenti al servizio di trasporto pubblico locale non conforme alla disciplina in materia di protezione dei dati. L’informativa resa ai passeggeri al momento della sottoscrizione degli abbonamenti era infatti priva di molti elementi essenziali e non consentiva di prestare un consenso libero, specifico e informato.

Nello specifico, Il modulo per il rilascio della tessera non permetteva di distinguere tra dati obbligatori e dati facoltativi (come ad esempio il numero di cellulare e l’indirizzo e-mail) e non segnalava chiaramente agli utenti il diritto di opporsi al trattamento per finalità di marketing diretto.

Siti e app per il contatto tra medico e paziente. Il Garante ha pubblicato un documento che racchiude in 10 punti gli obblighi e gli adempimenti da rispettare al momento di trattare dati personali da parte di app e siti che mettono in contatto i pazienti con i professionisti sanitari, tra cui i medici di medicina generale e i pediatri di libera scelta che offrono a utenti e medici servizi quali la scelta del professionista, la prenotazione delle visite, l’invio e l’archiviazione di documenti sanitari.

Il compendio fornisce chiarimenti con riferimento a tre macro tipologie di trattamenti: «dati dei pazienti, necessari per offrire loro servizi anche di tipo amministrativo correlati alla prestazione sanitaria richiesta (ad es. creazione dell’account, prenotazione di una visita medica); dati personali dei professionisti sanitari trattati per diversi scopi (ad es. gestione dell’agenda del medico e recensioni degli utenti); dati sulla salute dei pazienti, trattati per finalità di diagnosi e cura (es. condivisione di documenti sanitari come prescrizioni o referti)».

Per ciascuna delle tre macro tipologie di trattamenti, vengono identificate le specifiche basi giuridiche, i ruoli, le responsabilità e gli obblighi in capo a siti e app. Il testo ricorda la necessità di adottare misure di sicurezza tecniche e organizzative, volte a ridurre i rischi di distruzione, perdita, modifica, divulgazione non autorizzata di dati o accesso accidentale o illegale.

Intercettazioni: via libera all’archivio digitale interdistrettuale. Il Garante Privacy ha espresso parere favorevole sullo schema di decreto del Ministero della Giustizia che regola l’attivazione dell’archivio digitale delle intercettazioni (ADI) presso le infrastrutture interdistrettuali e definisce tempi, modalità e requisiti di sicurezza della migrazione e del conferimento dei dati. L’archivio - tenuto sotto la direzione e la sorveglianza del Procuratore della Repubblica - custodisce i verbali, gli atti e le registrazioni delle intercettazioni disposte dalle singole Procure.

Il Garante, tuttavia, ha chiesto al Ministero di esplicitare nel testo il ruolo di titolare del trattamento dei dati svolto dalle Procure della Repubblica, per fugare possibili dubbi interpretativi e agevolare l’esercizio dei diritti da parte degli interessati.

Si completa così il percorso che ha già visto l’istituzione delle infrastrutture digitali centralizzate per le intercettazioni e la definizione dei requisiti tecnici per la gestione dei dati presso tali sistemi, sui cui schemi il Garante si è espresso con parere favorevole rispettivamente nei mesi di settembre e di dicembre 2023.

(Fonte: Diritto e Giustizia)