Se uno studio di Federprivacy su tremila siti dei comuni italiani ha evidenziato che il 47% di questi utilizza protocolli non sicuri e il 36% non rende noti i recapiti per contattare il Data Protection Officer, in Norvegia le inosservanze delle misure di sicurezza del Gdpr da parte dei comuni iniziano già ad essere sanzionate pesantemente, e questo costituisce un serio avvertimento per le p.a. di casa nostra, anche perché ormai siamo a poche settimane dalla scadenza del “periodo di grazia” di otto mesi previsto dal Dlgs 101/2018, in cui il Garante ha tenuto finora particolare considerazione nella fase di prima applicazione delle disposizioni sanzionatorie del Regolamento.
Nei giorni scorsi è stata diffusa la notizia che il governo Draghi sta studiando una carta digitale che assommerà le funzioni attualmente svolte da carta d'identità, tessera sanitaria, carta di credito e Spid. In pratica, un documento unico per identificare il cittadino nei confronti di tutte le pubbliche amministrazioni e del sistema sanitario, con la possibilità di utilizzarla anche come carta di credito o borsellino elettronico. In previsione, forse, di una graduale restrizione all'utilizzo dei contanti come strumento decisivo nella lotta contro l'evasione fiscale.
L'Autorità olandese per la protezione dei dati (Autoriteit Persoonsgegevens) ha inflitto una sanzione di 2,75 milioni di euro all'amministrazione fiscale e doganale del Governo per violazioni del GDPR. L'amministrazione fiscale e doganale, parte del Ministero delle Finanze, per anni avrebbe trattato in modo discriminatorio e illecito i dati sulla doppia nazionalità dei richiedenti l'assegno per la custodia dei figli.
Il Garante per la protezione dei dati personali ha sanzionato la Regione Lazio per 75.000 euro per non aver nominato responsabile del trattamento dati la Società Cooperativa Capodarco, a cui l’Ente aveva affidato la gestione delle prenotazioni delle prestazioni sanitarie, attraverso il call center regionale (ReCUP).
Dopo aver ricevuto un reclamo per l'illecita pubblicazione di dati sensibili di un paziente ricoverato in una clinica psichiatrica forense sul sito web della Regione di Örebro, il Garante per la privacy svedese ha avviato un'indagine, appurando che la segnalazione era fondata. Infatti, nel comunicato reso noto dalla stessa autorità per la protezione dei dati personali lo scorso 13 maggio, viene confermato che "le informazioni sensibili del paziente sono state erroneamente pubblicate e quindi rese accessibili al pubblico sul sito web della regione ".
Pubbliche amministrazioni in affanno con la privacy. Norme privacy oscure mettono all'angolo gli enti pubblici. Ma anche il settore privato non può fare festa. Dal 2020 al primo quadrimestre 2021 oltre il 71% (per numero) delle sanzioni per violazioni della privacy è stata irrogata a enti pubblici e il 28,8% a soggetti privati. Su un totale di 80 ordinanze-ingiunzioni, 57 sono state indirizzate a pubbliche amministrazioni e 23 a privati. Se quelle imposte a soggetti privati arrivano, in singoli casi, a importi milionari, quelle rivolte agli enti pubblici preoccupano per la loro capillare diffusione, sia tra amministrazioni centrali sia tra enti locali.
Per i furbetti del Green Pass non c’è bisogno di andare nel Dark Web o su qualche canale Telegram di truffatori per procurarsi un valido QR Code pagando centinaia di euro, perché si può comprare con pochi click a 9,99 euro su Alamy, noto sito di vendita online di immagini in stock.
Una ex dipendente del Comune di Greve in Chianti (Firenze) presentava reclamo all’Autorità Garante dolendosi della pubblicazione, nella sezione “Albo online” del sito web del Comune, di una determinazione al cui interno erano menzionati riferimenti a vicende relative al suo rapporto di lavoro. In particolare, la determinazione conteneva riferimenti alla propria persona, essendo seppur menzionata tramite le iniziali del proprio cognome e nome, nonché dati personali relativi a condanne penali e reati.
Il Comune di Roma e la società dei servizi per la mobilità sono stati sanzionati dal Garante per la Privacy per non aver adeguatamente protetto i dati dei cittadini ai quali era stato assegnato il permesso di accesso alle zone a traffico limitato. Le sanzioni, per complessivi 410mila euro, sono arrivate all’esito dell’istruttoria avviata in seguito a una segnalazione e ad alcuni articoli della stampa sui problemi relativi al controllo dei pass ZTL.
La nomina di autorizzato al trattamento dei dati è un adempimento di cruciale importanza per il titolare del trattamento. A tale riguardo la regola è la libertà di forme: è il titolare del trattamento che deve e può decidere attraverso quali modalità rendere riconoscibile che un certo soggetto è stato autorizzato al trattamento di dati personali. All’interno di questa libertà di forma, tuttavia, deve essere assicurato un risultato: poter ricostruire “chi fa che cosa”. Disponibile nell'area riservata del sito di Federprivacy un apposito kit completo di modelli specifici per settori.
