Pseudonimizzazione, in consultazione le linee guida dei Garanti privacy europei

Scritto il 08 Febbraio 2025

L’Autorità italiana ha partecipato alla stesura del documento

I dati pseudonimizzati sono sempre dati personali. È quanto affermano le Linee guida sulla pseudonimizzazione adottate nel corso dell’ultima plenaria del Comitato europeo per la protezione dei dati (EDPB), alla cui stesura ha partecipato il Garante privacy in qualità di co-rapporteur.

Le Linee guida sono ora disponibili in consultazione pubblica fino al 28 febbraio, al termine della quale verranno adottate in versione definitiva.

In base alla definizione fornita dal GDPR, la pseudonimizzazione è una misura che permette di non attribuire i dati personali a uno specifico interessato senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure di sicurezza tecniche e organizzative.

Leggi tutto

Foto di un lifting sui social: il Garante sanziona un chirurgo

Scritto il 08 Febbraio 2025

Sul profilo del medico le immagini in chiaro di una paziente

Una sanzione di 20mila euro è stata comminata dal Garante Privacy ad un chirurgo per aver pubblicato sul proprio profilo Instagram le foto di una paziente prima e dopo un intervento di lifting del volto, peraltro, senza avere acquisito il consenso alla diffusione delle immagini. L’Autorità è intervenuta a seguito del reclamo della paziente che lamentava la pubblicazione, sul profilo social del medico, di foto che la ritraevano in modo riconoscibile durante l’operazione.

Nel corso dell’istruttoria, il medico ha affermato che le immagini fossero state scattate per uso interno e che la pubblicazione fosse dovuta a un equivoco legato alla gestione dei consensi tra i diversi professionisti coinvolti nell’intervento. Giustificazione ritenuta non sufficiente dal Garante il quale ha dichiarato illecito il trattamento dei dati sanitari della paziente, in quanto effettuato al di fuori delle finalità di cura in violazione della normativa privacy.

Nel determinare la sanzione, il Garante ha considerato la natura sensibile dei dati personali diffusi e il contesto particolare in cui è avvenuta la violazione, nel quale la legittima aspettativa della reclamante di confidenzialità e riservatezza era elevata, anche in considerazione del rapporto professionale e fiduciario con il medico.

(info: Newsletter n. 531 del 31 gennaio 2025 Garante Privacy)

Data breach, FSE Molise: le sanzioni del Garante privacy

Scritto il 07 Febbraio 2025

Con tre sanzioni di 10mila euro ciascuna, irrogate rispettivamente alla Regione Molise, alla Società Molise dati, e a Engineering ingegneria informatica S.p.A., il Garante privacy ha definito i procedimenti aperti dopo l’intrusione nel Portale regionale FSE verificatasi tra novembre e dicembre 2022.

Il data breach, causato da una vulnerabilità del sistema informatico,aveva consentito a un cittadino autenticato con il ruolo di “assistito”, attraverso una manipolazione della URL, di effettuare una ricerca di informazioni relative a sette individui presenti nell’Anagrafe regionale del Molise. L’accesso non autorizzato aveva riguardato i dati anagrafici; di residenza e domicilio; e quelli contenuti in documenti e referti sanitari degli utenti coinvolti.

Nel corso dell’attività istruttoria, il Garante ha accertato che la violazione era stata provocata da un bug di sicurezza nel sistema di autenticazione con cui si accedeva al Fascicolo Sanitario Elettronico della Regione Molise.

Leggi tutto

Telemarketing, Garante privacy: sanzione di oltre 890mila euro a fornitore luce e gas

Scritto il 07 Febbraio 2025

Dati trattati a fini promozionali senza un’idonea base giuridica

Il Garante privacy ha comminato a E.ON Energia spa una sanzione di oltre 890mila euro per trattamento illecito di dati personali a fini di telemarketing. Il procedimento trae origine dai reclami di due persone che lamentavano la ricezione di numerose chiamate indesiderate e il mancato riscontro alle richieste di esercizio dei diritti sanciti dal Regolamento.

Nel corso dell’istruttoria il Garante ha rilevato, in un caso, che i consensi rilasciati in fase di attivazione delle forniture di luce e gas, erano stati trascritti in maniera errata da un dipendente della società. Errore che ha evidenziato una duplice criticità nei meccanismi di tutela dei dati dei clienti. Da un lato, E.ON non ha introdotto misure idonee a verificare ed assicurare la corrispondenza tra i consensi resi dagli interessati e le informazioni registrate sui sistemi aziendali, ed è così incorsa nella realizzazione di attività di telemarketing senza un’idonea base giuridica. Dall’altro, è venuta meno agli obblighi di formazione e supervisione dei soggetti incaricati delle attività di telemarketing.

Leggi tutto