Domenico Battaglia
Avvocato del foro di Bolzano, socio membro Federprivacy e Delegato per la provincia di Bolzano. Membro dei gruppi di lavoro per la tutela della privacy nella gestione del personale, cybersecurity e studi professionali di Federprivacy. Docente a contratto presso l'Università di Padova. Data Protection Officer del Consiglio dell'Ordine degli Avvocati di Bolzano. - Email: [email protected]
I medici di famiglia devono ‘curare’ non solo la salute dei pazienti, ma anche la loro privacy
Alla maggioranza di noi sarà capitato di chiamare il medico di famiglia sentendosi dire, magari dalla segretaria, di inviare una foto del nostro referto tramite WhatsApp oppure di mandarlo tramite email ad un comune indirizzo di posta elettronica privato, come ad esempio quelli forniti gratuitamente con il servizio Gmail di Google. Questa è ormai l’esperienza comune, soprattutto dopo la pandemia da Covid-19. Per non parlare, poi, dei gestionali attraverso i quali i medici di famiglia organizzano il proprio studio medico, gestionali nei quali vengono caricati una valanga di dati particolari dei singoli pazienti.
Spazio europeo dei dati sanitari: il parere dei garanti dell’UE sulla proposta di regolamento
Con l’intenzione di costituire una vera e propria Unione sanitaria europea, la Commissione europea ha lanciato una proposta di regolamento per l’istituzione di uno Spazio europeo dei dati sanitari (European Health Data Space – EHDS). Il regolamento si propone di migliorare l’accesso delle persone fisiche ai loro dati sanitari elettronici personali e il loro controllo su tali dati (c.d. uso primario), e per altre finalità di cui beneficerebbe la società quali la ricerca, l’innovazione, la definizione delle politiche, la sicurezza dei pazienti, la telemedicina personalizzata, le statistiche ufficiali o le attività normative ( c.d. uso secondario).
Mai sottovalutare il riscontro alle istanze degli interessati per l’esercizio dei diritti sulla privacy
L’ordinanza ingiunzione nei confronti di Deutsche Bank S.p.A. del 16 giugno 2022 offre la possibilità di analizzare nuovamente una tema che Titolare e Responsabile del Trattamento non devono sottovalutare: il riscontro alle istanze di esercizio dei diritti.
Sistemi automatizzati e privacy, lavoratori più tutelati con il 'Decreto Trasparenza'
I sistemi automatizzati, siano essi decisionali o di monitoraggio, fanno parte della realtà lavorativa, anche italiana. Ritenere che l’utilizzo di tali sistemi sia confinato esclusivamente sulle attività di consegna di cibo a domicilio nei centri urbani (cd. Riders) costituisce una visione miope della realtà lavorativa.
La privacy non è di ostacolo per gli eredi che chiedono di accedere ai dati personali del terzo beneficiario della polizza vita
La Corte di Cassazione ha statuito che gli eredi a cui sia negato il diritto di accesso ai dati personali riferibili al terzo beneficiario di una polizza vita possano adire le vie legali ottenendone l’ostensione. In parole povere, la riservatezza dei dati personali deve cedere il passo rispetto all’esercizio di difesa in giudizio. In linea di principio, non si può che convenire con quanto statuito dalla Corte di Cassazione nella sentenza 13 dicembre 2021 n. 39531.Osservazioni di natura critica, però, riguardano lo strumento che secondo la Corte sarebbe disponibile agli eredi per tutelare i propri diritti in giudizio.
Dall’European Data Protection Board le Linee Guida sul diritto di accesso dell’interessato
Il 19 gennaio 2022, durante la sessione plenaria, l’EDPB ha adottato le Linee guida sul diritto di accesso ai dati personali da parte dell’interessato. Già nel novembre 2019, nel corso di un evento su questo tema, i più importanti player avevano espresso le proprie opinioni in merito al diritto di accesso. Il Board, raccogliendo queste opinioni, ha sentito l’esigenza di pubblicare Linee guida per fornire, tra l’altro chiarimenti sulla portata del diritto di accesso, sulle informazioni che il titolare del trattamento deve fornire all’interessato, sul formato della richiesta di accesso, sulle principali modalità di fornitura dell’accesso e sulla nozione di “manifestamente infondata” o “richiesta eccessiva”.
Se il data protection officer è inadeguato il titolare del trattamento viene sanzionato
L’autorità lussemburghese ha recentemente indicato che, per realtà di trattamento dati complesse, un DPO adeguato dovrebbe avere almeno tre anni di esperienza professionale. L’indicazione è stata resa nell’ambito di una attività ispettiva, in seguito alla quale una società lussemburghese veniva sanzionata dal Garante Privacy nazionale (CNPD) per aver nominato un DPO inadeguato.
Mancata osservanza delle istruzioni impartite: la posizione del dipendente
Una volta designato o autorizzato un subordinato a svolgere determinati compiti connessi al trattamento dei dati personali, fino a che punto rimane responsabile il Titolare ovvero, fino a che punto l’assunzione di compiti e funzioni fa il paio con l’assunzione di profili di responsabilità? Esistono (e se sì, con quali limiti) ambiti di rivalsa del Titolare nei confronti del subordinato a fronte di una condanna ricevuta dal primo a seguito di un accertamento di responsabilità del sottoposto?
Il responsabile paga l’insubordinazione con la titolarità del trattamento dei dati personali
Da un’indagine della Guardia di finanza emergeva che undici schede telefoniche fossero state intestate a cinque ignari cittadini in spregio della normativa che ne richiede l'obbligo di identificazione dell'assegnatario dell'utenza e l'obbligo di rendere agli interessati le informazioni relativamente al trattamento dei dati personali.
Prima il sospetto e poi il controllo difensivo
La Corte (Cass. civ. Sez. lavoro, Sent., 22-09-2021, n. 25732) affronta nuovamente la questione, di indubbio rilievo nomofilattico, della compatibilità dei c.d. “controlli difensivi” (concetto elaborato dalla giurisprudenza precedentemente alla modifica dell'articolo 4 dello Statuto dei lavoratori) con l'attuale assetto normativo. La Corte, con un pronunciamento di indubbio valore esegetico, ha enunciato il seguente principio di diritto: I controlli difensivi possono essere posti in essere dal datore di lavoro solo in presenza di un fondato sospetto