Privacy International, organizzazione non profit con sede nel Regno Unito, ha scoperto che alcune app utilizzate per monitorare il ciclo mestruale, nonché i sintomi correlati, gli sbalzi di umore, e anche informazioni relative ad attività sessuali e periodi di maggiore fertilità, inviano i dati sensibili di milioni di donne che le utilizzano direttamente a Facebook.
La maggior parte delle app per la fertilità non rispettano la privacy, e raccolgono e condividono dati sensibili delle utenti senza il loro consenso. Lo ha scoperto uno studio della Newcastle University e della Umea University presentato alla Conference on Human Factors in Computing Systems di Yokohama, secondo le cui autrici questo tipo di applicazione dovrebbe essere regolato più strettamente.
L'identità degli iscritti alle associazioni è inviolabile. È quanto ribadisce il Garante della privacy a conclusione della riunione del collegio svoltasi il 19 marzo 2021 alla quale hanno preso parte il presidente Pasquale Stanzione, la vicepresidente Ginevra Cerrina Feroni, i componenti Guido Scorza e Agostino Ghiglia e il segretario generale Fabio Mattei. L'Autorità ha confermato il parere 19-2021 espresso lo scorso 14 gennaio su richiesta del ministero della giustizia in relazione allo schema di decreto, da adottare di concerto con il ministero dello sviluppo, sulle organizzazioni che partecipano a una class action e che pertanto devono figurare in un elenco pubblico istituito presso il ministero della giustizia.
Il datore di lavoro può trattare solo i dati sensibili (oggi definiti particolari) indispensabili per gestire la fase pre-assuntiva del lavoratore o per l’esecuzione del rapporto. È una delle prescrizioni contenute nel Provvedimento del Garante della privacy del 5 giugno 2019 , pubblicato sulla «Gazzetta ufficiale» 176 del 29 luglio, emanato per armonizzare con il Regolamento 679/2016 (il Gdpr) le prescrizioni già contenute nelle autorizzazioni adottate quando era in vigore il "vecchio" Dlgs 196/2003 (ora abrogate).
Attenzione a numeri e sigle. Se solo richiamano aspetti sanitari, sono di per se stessi dati sanitari. Anche se non abbinati a una determinata persona. Lo ha imparato a proprie spese un liceo scientifico, colpevole di avere pubblicato sul sito internet un elenco del personale fruitore di permessi previsti dalla legge 104/1992 (legge-quadro per l'assistenza delle persone handicappate). Mera indicazione della cifra «104», errore umano della diffusione e natura riservata della pagina del sito non sono valse a evitare l'ingiunzione del Garante della privacy di pagamento di 4 mila euro (provvedimento n. 290 del 1° settembre 2022).
Il Garante privacy ha espresso parere favorevole, con alcune osservazioni, sullo schema di provvedimento predisposto dall’Inps ai fini dell’erogazione in Italia della Carta europea della disabilità. La Carta è uno strumento che consente alle persone diversamente abili di usufruire delle agevolazioni a loro dedicate.
Una comunità religiosa che effettua attività di predicazione porta a porta (tipo i testimoni di Geova) deve rispettare le norme del diritto dell'Ue sulla protezione dei dati personali. Questo anche se non effettuano il trattamento dei dati in modo automatizzato; basta che le informazioni siano riportate in un qualsiasi archivio. Il responsabile del trattamento dei dati sarà la comunità religiosa stessa. È quanto stabilito nella sentenza della Corte di giustizia europea relativa alla causa C-25/17.
I dati riportati nei cedolini paga e nel LUL (Libro Unico del Lavoro) sono dati personali in quanto relativi ad informazioni riguardanti persone fisiche identificate (i lavoratori). Inoltre, nei cedolini paga e nel LUL sono riportati, altresì, categorie particolari di dati, fra cui anche dati relativi alla salute - e cioè attinenti alla salute fisica o mentale del lavoratore - il cui trattamento è generalmente vietato ma che i datori di lavoro possono legittimamente trattare in virtù del paragrafo 2 lett. b) dell'art. 9 del Regolamento UE 2016/679, quando il trattamento è necessario.
Il datore di lavoro non può comunicare ad una organizzazione sindacale la nuova sigla alla quale ha aderito un suo ex iscritto. Per consentire al sindacato di espletare le procedure che seguono la revoca della affiliazione sindacale e della relativa delega, il datore di lavoro avrebbe dovuto limitarsi a comunicare la sola scelta del lavoratore di non aderire più all’originaria sigla di appartenenza. È quanto affermato dal Garante privacy a conclusione di un’istruttoria originata dai reclami di alcuni dipendenti di una Azienda socio-sanitaria territoriale che si erano rivolti all’Autorità affinché valutasse la correttezza del datore di lavoro nel trattamento dei loro dati sensibili, quale è l’appartenenza sindacale.
La delega sindacale, per i lavoratori iscritti ad un sindacato, e la contrattazione collettiva, per i non iscritti, sono le basi giuridiche più idonee per disciplinare la comunicazione da parte dei datori di lavoro di dati personali dei dipendenti alle organizzazioni sindacali. È quanto si desume da un esame sistematico degli orientamenti del Garante per la protezione dei dati personali confrontati con le norme contenute nel GDPR - General Data Protection Regulation. Qual è la posizione della giurisprudenza sull’eventuale rifiuto del datore di lavoro di dare informazioni alle rappresentanze sindacali?
