NEWSLETTER del 23 dicembre 2024 – Telemarketing: dal Garante sanzione…

NEWSLETTER N. 530 del 23 dicembre 2024

Telemarketing: dal Garante sanzione di 670mila euro a fornitore di luce e gas
Attività promozionali affidate ad agenzie e sub-agenzie senza adeguati controlli

Nuova azione del Garante Privacy contro il fenomeno del telemarketing selvaggio. L’Autorità ha inflitto a Illumia spa, società operante nella fornitura dei servizi di luce e gas, una sanzione di 678.897 euro per trattamento illecito di dati personali a fini promozionali.

La società, inoltre, dovrà adottare misure tecniche e organizzative adeguate per quanto riguarda la selezione e la vigilanza sull’operato delle agenzie esterne che svolgono attività di telemarketing. Dovrà poi implementare i necessari accorgimenti per evitare il rischio di attivazione di contratti di fornitura originati da un contatto promozionale illecito.

Il provvedimento del Garante giunge al termine di un’istruttoria avviata a seguito dei reclami di utenti che lamentavano la ricezione di telefonate indesiderate effettuate da diversi call center per promuovere i servizi offerti da Illumia. Molte le criticità riscontrate, in particolare l’effettuazione di chiamate promozionali in assenza di un’idonea base giuridica, la mancanza di controlli lungo tutta la filiera e l’implementazione di alcune misure tecnico-organizzative con notevole ritardo rispetto all’entrata in vigore del Regolamento Ue.

Nel determinare l’ammontare della sanzione, l’Autorità ha tenuto conto della gravità e della durata delle violazioni riscontrate, del fatturato dell’impresa e dell’elevato numero di agenzie e sub-agenzie coinvolte su tutto il territorio nazionale.

Certificati per l’assenza dal lavoro, Garante: no ai dati sulla salute

È quanto ha ribadito il Garante sanzionando per 17mila euro un’Azienda Sanitaria Territoriale.

L’Autorità è intervenuta a seguito del reclamo di una paziente che aveva chiesto alla struttura sanitaria un certificato per assenza dal lavoro.

Il certificato rilasciato riportava l’indicazione del reparto che aveva erogato la prestazione sanitaria, violando gli obblighi in materia di sicurezza e il principio di minimizzazione dei dati personali.

I dati trattati, infatti, devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Inoltre l’Autorità ha accertato la violazione del principio di privacy by design in quanto l’Azienda, titolare del trattamento, ha omesso di mettere in atto, fin dalla progettazione, misure tecniche ed organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a tutelare i diritti degli interessati.

L’Azienda sanitaria dovrà quindi pagare una sanzione di 17mila euro perché, pur avendo, a seguito dell’intervento del Garante, modificato i moduli e effettuato una specifica formazione del personale in materia di protezione dei dati personali, la violazione ha riguardato un numero di pazienti potenzialmente elevato per un lungo periodo. Nel definire la sanzione l’Autorità ha inoltre considerato che l’Azienda non ha fornito riscontro alla richiesta di informazioni del Garante, commettendo un’ulteriore violazione del Codice.

Pubblicate le Faq per l’accesso ai dati personali della cartella clinica

Pubblicate le Faq del Garante Privacy in materia di accesso ai dati personali della cartella clinica, il documento che contiene l’insieme di informazioni sanitarie e anagrafiche sul singolo ricovero.

I chiarimenti dell’Autorità giungono a seguito di alcuni reclami di utenti che lamentavano il mancato rilascio gratuito da parte di strutture sanitarie della prima copia cartacea della propria cartella clinica. Diniego segnalato dopo la sentenza della Corte di Giustizia dell’Unione Europea C-307/22 del 26 ottobre 2023.

Nelle Faq l’Autorità chiarisce che la struttura sanitaria, titolare del trattamento, a seguito di una istanza presentata ai sensi dell’art. 15 del Regolamento, è tenuta a fornire al richiedente copia dei dati personali oggetto del trattamento. La prima copia di tali dati è rilasciata gratuitamente.

La struttura sanitaria valuta se fornire copia integrale di tutta o parte della documentazione contenuta nella cartella clinica. La struttura è tenuta a fornire al richiedente, gratuitamente, copia integrale della propria documentazione sanitaria quando ciò sia necessario per consentirgli di verificare l’esattezza, la completezza e l’intelligibilità delle informazioni richieste, come stabilito dalla sentenza CGUE 307/22.

Il Garante ricorda, inoltre, ai titolari del trattamento (ospedali, aziende sanitarie, ecc.) che, in caso di ricezione di istanze generiche di accesso, le Linee guida della Commissione Europea sulla Protezione dei dati raccomandano di chiedere agli interessati di specificare l’oggetto della richiesta (dati personali o documentazione).

Sanità: il Garante Privacy sanziona un’azienda ospedaliera
Software obsoleti e alert inadeguati hanno favorito l’attacco hacker

Con una sanzione di 25mila euro il Garante privacy ha definito il procedimento aperto nei confronti di un’Azienda ospedaliero -universitaria che aveva subito un attacco hacker ai sistemi informativi nel dicembre 2022. Il data breach – causato da un malware di tipo ransomware introdotto nei sistemi attraverso l’accesso a un PC aziendale con VPN aperta – aveva comportato la perdita di riservatezza, integrità e disponibilità dei dati personali di un numero elevato di interessati. Tra questi dipendenti, consulenti e pazienti. La violazione non aveva però determinato il blocco dei servizi sanitari.

L’Autorità si era attivata a seguito di una notifica dell’Azienda. Dalla documentazione trasmessa dall’ispezione effettuata dal Garante sono emerse alcune carenze relative agli obblighi di sicurezza previsti dal Regolamento europeo, dovute all’adozione di sistemi non aggiornati e a misure inadeguate a rilevare tempestivamente le violazioni di dati e a garantire la sicurezza delle reti informatiche. In particolare, l’utilizzo di software obsoleti, per i quali non erano più previsti aggiornamenti di sicurezza e di alert non a copertura h24, hanno favorito il verificarsi dell’attacco hacker.

Nel corso dell’istruttoria, il Garante ha inoltre accertato ulteriori omissioni riguardanti le misure di sicurezza, tra cui la mancanza di una procedura di autenticazione informatica a più fattori per l’accesso da remoto alla VPN, che invece avveniva solo attraverso l’utilizzo di username e password; e l’assenza di un sistema per segmentare e segregare le reti delle postazioni dei dipendenti, nonché i server per i trattamenti, per evitare una propagazione di virus.

L’ATTIVITÀ DEL GARANTE – PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall’Autorità

• ChatGPT, il Garante Privacy chiude l’istruttoria. OpenAI dovrà realizzare una campagna informativa di sei mesi e pagare una sanzione di 15 milioni di euro – Comunicato del 20 dicembre 2024

• Il Garante Privacy chiede la registrazione della puntata di Report su Sangiuliano – Comunicato del 13.12.2024

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002)
Direttore responsabile: Stefano Sabella
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 – 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it