Protezione dei dati dei beneficiari dei sussidi COVID. «La condizione di fragilità economica va tutelata anche sul piano della riservatezza e il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati fin dalla progettazione dei sistemi e per impostazione predefinita». Così ha affermato il Garante Privacy nel provvedimento sanzionatorio emesso a carico di un Comune per la mancata tutela della privacy dei cittadini che chiedevano sussidi alimentari a seguito della crisi causa dal COVID-19. Un cittadino aveva infatti presentato lamentela dopo che un operatore privato aveva potuto accedere alla sua domanda di buoni spesa per l’emergenza COVID senza esserne autorizzato. Il disguido nasceva dal fatto che il Comune, per assistere gli utenti nell’inserimento delle domande, aveva accreditato all’accesso alla piattaforma diversi soggetti esterni i cui dipendenti erano rimasti nella possibilità di consultare tutte le pratiche inserite nel sistema.

Nello stabilire l’entità della sanzione il Garante, «pur considerando la necessità di fronteggiare con urgenza il disagio della pandemia, nonché gli sforzi fatti nel corso del tempo per adottare le necessarie misure per rendere la piattaforma conforme ai richiamati principi, ha tenuto conto del fatto che la violazione ha interessato un numero elevato di cittadini in stato di bisogno (circa 18.000) e si è protratta per circa due mesi».

L’informazione scientifica deve tutelare la privacy dei pazienti. Un uomo aveva scoperto online dati e foto della sua operazione chirurgica, dati che erano stati pubblicati sul sito di un’associazione medica a sua insaputa. Il medico che aveva pubblicato i documenti aveva accesso alla documentazione medica del caso per fini di cura ma non aveva richiesto al paziente il necessario consenso ai fini della pubblicazione online. La vicenda è dunque giunta all’attenzione dell’Autorità che ha precisato come sia «necessario prestare particolare attenzione a pubblicazioni o divulgazioni scientifiche di studi clinici, accertandosi che il paziente sia stato preventivamente informato, abbia dato il suo consenso e che i suoi dati siano stati opportunamente anonimizzati».

Informazioni ai dipendenti sui sistemi aziendali in uso. Una società manifatturiera ha ricevuto dal Garante una sanzione di 40mila euro per aver utilizzato illecitamente i dati dei dipendenti raccolti attraverso un sistema informatico delle cui caratteristiche non aveva correttamente informato i dipendenti. Il sistema prevedeva infatti l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare la produzione e raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle dichiarate nelle informative. In sostanza, veniva posto in essere un sistema di sorveglianza a distanza del lavoratore che disattendeva le prescrizioni dell’Istituto nazionale del lavoro. In conclusione, il Garante, oltre a sanzionare l’azienda, ha ordinato di modificare le informative rese ai lavoratori.