Autore Topic: Gr017 - Gruppo di studio di "GDPR e protezione dati"  (Letto 2564 volte)

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline Simonetta Pezzola

  • Nuovi iscritti
  • *
  • Post: 17
  • Nuovo iscritto
    • Mostra profilo
    • E-mail
dati relativi alla salute: trattamento illecito
« Risposta #7 il: 30 Marzo 2021, 21:47:38 »

Vorrei oggi richiamare l'attenzione su un provvedimento recente (27.01.2021) del Garante con il quale un'Azienda Ospedaliera universitaria ? stata assoggettata a sanzione per aver trattato illecitamente dati relativi alla salute, come meglio si legger? dalla sintesi del provvedimento che allego.

Mi ? parso interessante, inoltre, "commentare" il suddetto provvedimento dell'Autorit? per il fatto che esso nasce da un "mero" errore di imbustamento di un documento...a dire che, se ? vero che quando pensiamo al sistema "privacy" abbiamo in mente sistemi informatici, crittografie, software, sistemi digitali, tecnologie all'avanguardia et cetera... non possiamo dimenticare che la "privacy" riguarda anche l' imbustazione  manuale (e corretta) di un documento.

Offline Simonetta Pezzola

  • Nuovi iscritti
  • *
  • Post: 17
  • Nuovo iscritto
    • Mostra profilo
    • E-mail
pillole di GDPR
« Risposta #6 il: 23 Marzo 2021, 19:08:01 »
Buona sera ...
un breve ripasso dei soggetti e ruoli "privacy" alla luce, molto sinteticamente, delle linee guida EDPB n.7/2020.


Offline Simonetta Pezzola

  • Nuovi iscritti
  • *
  • Post: 17
  • Nuovo iscritto
    • Mostra profilo
    • E-mail
Re:Gr017 - Gruppo di studio di "GDPR e protezione dati"
« Risposta #5 il: 19 Marzo 2021, 08:31:33 »
Buongiorno e ben trovati,
oggi, sottopongo alla Vostra attenzione un'iniziativa del Garante che - seppur non strettamente legata allo studio di uno specifico argomento - lascia intendere molto sulle "difficolt?" che spesso gli interessati incontrano nella lettura e effettiva comprensione delle informative relativamente al trattamento dei loro dati personali, fodamentale strumento anche per rendere effettivo l'esercizio dei diritti  dell'interessato.
Il Garante per la Privacy lancia, infatti, un concorso aperto a esperti della materia, studenti e altri addetti ai lavori per studiare soluzioni che, attraverso l?uso di icone, simboli o altre soluzioni grafiche, rendano le informative pi? semplici, chiare e immediatamente comprensibili.
Scopo dell'iniziativa ?, sostanzialmente proprio quello di mettere a punto un ventaglio di set di simboli o icone capaci di rappresentare la totalit? degli elementi che a norma degli articoli 13 e 14 del Gdpr devono essere contenuti nell?informativa.
E' esperienza comune che le informative utilizzate da aziende private, enti pubblici, professionisti, siti web, e soprattutto social network, motori di ricerca e piattaforme, siano  troppo lunghe, complesse e quindi non adeguate a rispondere alla loro funzione essenziale, ovvero quella di informare gli utenti sull?uso che verr? fatto dei loro dati personali e, di conseguenza, di metterli nella condizione di decidere se fornire o meno le proprie informazioni ed esprimere in maniera libera e consapevole l?eventuale consenso al trattamento.
Ogni dettaglio ? fruibile nel sito del Garante ma lo spunto ci serva per ripassare, intanto, i suddetti articoli  13 e14  GDPR (articoli fondamentali) e ricordare le caratteristiche che il GDPR richiede per le informazioni agli interessati: l'informazione deve essere CONCISA, TRASPARENTE, INTELLEGGIBILE, RESA IN LINGUAGGIO SEMPLICE E CHIARO, FACILMENTE ACCESSIBILE!
Effettivamente c'? da lavorare!
Grazie e a presto.

Offline Simonetta Pezzola

  • Nuovi iscritti
  • *
  • Post: 17
  • Nuovo iscritto
    • Mostra profilo
    • E-mail
C.V.
« Risposta #4 il: 16 Marzo 2021, 23:03:40 »

...a proposito di dati personali...

allego C.V..



Offline Simonetta Pezzola

  • Nuovi iscritti
  • *
  • Post: 17
  • Nuovo iscritto
    • Mostra profilo
    • E-mail
Parere Garante 17.12.2020
« Risposta #3 il: 16 Marzo 2021, 11:45:44 »

Ben trovati Tutti,
oggi sottopongo alla Vostra attenzione, sperando sia cosa a Voi gradita, un Parere del Garante della Protezione dati su istanza di accesso civico, reso in data 17 dicembre 2020 (Registro dei provvedimenti
n. 271 del 17 dicembre 2020) in riferimento, in particolare, a richieste in tema di ?pratiche edilizie?.
Il parere, oltre a consentirci il ripasso di pi? istituti (anche di materie diverse rispetto alla protezione dat)i, il che ? sempre cosa buona, a mio avviso, ? di particolare interesse in quanto ancora una volta conferma per la PA la necessit? di effettuare sempre ? o meglio, ogni qualvolta sia necessario prendere in considerazione interessi diversi e spesso contrapposti ? quel ?balancing test? che forse costituisce l?aspetto pi? problematico della c.d. Trasparenza.
Il caso, riassunto necessariamente in questa sede, prende ?incipit? dalla richiesta del Responsabile della prevenzione della corruzione e della trasparenza (RPCT) di un comune toscano al Garante Privacy di  parere (art. 5, comma 7, del d. lgs. n. 33/2013) volta al riesame, presentata dal soggetto controinteressato, su un provvedimento di accoglimento parziale di un?istanza di accesso civico.
Il Comune aveva inizialmente ricevuto una richiesta di accesso ai documenti amministrativi ai sensi degli artt. 22 ss. della legge n. 241 del 7/8/1990 ? avente a oggetto TUTTA la documentazione inerente a una pratica edilizia riferita a un?Azienda agricola (ditta individuale): RICHIESTA RESPINTA per mancanza dei presupposti previsti dalla predetta legge.
A seguito di tale diniego, il medesimo soggetto istante PRESENTAVA una richiesta di ACCESSO CIVICO  ? ai sensi dell?art. 5 comma 2, del d. lgs. n. 33/2013 ? sui medesimi documenti e, precisamente, su tutta la ?Documentazione ed elaborati grafici del Permesso di costruire, successive varianti e pratica di agibilit? etc.
L?amministrazione individuava, come controinteressato, il rappresentante dell?Azienda agricola, titolare anche della ditta individuale, il quale opponendosi alla richiesta di accesso civico, evidenziava, che il mutamento della domanda di accesso (da accesso qualificato ad accesso civico) non pu? portare a una differente valutazione della p.a., nonch?, che l?accoglimento dell?istanza avrebbe provocato la lesione degli interessi privati di cui all?art. 5-bis, comma 2, del d. lgs. n. 33/2013, quali la protezione dei dati personali; la libert? e segretezza della corrispondenza; gli interessi economici e commerciali, ivi compresi i segreti commerciali.
Il Comune, in ogni caso accordava un accesso civico parziale ?agli atti e documenti relativi a pratiche edilizie e urbanistiche presenti archivio dell?Ente [?], limitando l?accesso a documentazione non contenente dati sensibili e omettendo i dati personali ivi contenuti?.
Il controinteressato presentava, allora, una richiesta di riesame al Responsabile della trasparenza del provvedimento di accoglimento parziale, ritenendolo non legittimo e chiedendo il rifiuto dell?accesso.
Cosa dice il Garante ?
1: RAPPORTO ACCESSO DOCUMENTALE ? ACCESSO CIVICO  come indicato anche nelle Linee guida dell?ANAC in materia di accesso civico ? il precedente diniego ai sensi della l. n. 241/1990, non necessariamente incide sulla possibilit? di presentare una diversa domanda di accesso civico sui medesimi documenti, a meno che ?l?amministrazione, con riferimento agli stessi dati, documenti e informazioni, abbia negato il diritto di accesso ex l. 241/1990, motivando nel merito, [?] con la necessit? di tutelare un interesse pubblico o privato prevalente, e quindi nonostante l?esistenza di una posizione soggettiva legittimante ai sensi della 241/1990?
2: FATTISPECIE CONCRETA . Nel caso in esame, invece, dagli atti risultando che il diritto di accesso ai sensi della l. 241/1990 era stato negato per la ?mancata indicazione dell'interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata agli atti per i quali era stato chiesto l?accesso?, senza che il Comune fosse entrato  nel merito dell?esistenza di ulteriori limiti derivanti da interessi pubblici o privati che potessero inibire l?ostensione della documentazione richiesta, non avrebbe impedito al soggetto istante di presentare anche una successiva richiesta di accesso civico sui medesimi documenti.
3: NEL MERITO Quanto al merito della questione,  Il Garante, evidenzia che, in relazione al procedimento per il rilascio del permesso di costruire, la normativa statale di settore prevede che ?La domanda per il rilascio del permesso di costruire, sottoscritta da uno dei soggetti legittimati [?] va presentata [?] corredata da un?attestazione concernente il titolo di legittimazione, dagli elaborati progettuali richiesti, e quando ne ricorrano i presupposti, dagli altri documenti previsti dalla parte II. La domanda ? accompagnata da una dichiarazione del progettista abilitato che asseveri la conformit? del progetto agli strumenti urbanistici approvati ed adottati, ai regolamenti edilizi vigenti, e alle altre normative di settore aventi incidenza sulla disciplina dell?attivit? edilizia e, in particolare, alle norme antisismiche, di sicurezza, antincendio, igienico-sanitarie, alle norme relative all?efficienza energetica? (art. 20, comma 1, del d.P.R. n. 380 del 6/6/2001, recante il ?Testo unico delle disposizioni legislative e regolamentari in materia edilizia?).?, inoltre, previsto che ?Entro sessanta giorni dalla presentazione della domanda, il responsabile del procedimento cura l?istruttoria e formula una proposta di provvedimento, corredata da una dettagliata relazione, con la qualificazione tecnico-gIuridica dell?intervento richiesto. Qualora sia necessario acquisire ulteriori atti di assenso, comunque denominati, resi da amministrazioni diverse, si procede ai sensi degli articoli 14 e seguenti della legge 7 agosto 1990, n. 241? e che ?Il responsabile del procedimento, qualora ritenga che ai fini del rilascio del permesso di costruire sia necessario apportare modifiche di modesta entit? rispetto al progetto originario, pu?, nello stesso termine di cui al comma 3, richiedere tali modifiche, illustrandone le ragioni. L?interessato si pronuncia sulla richiesta di modifica entro il termine fissato e, in caso di adesione, ? tenuto ad integrare la documentazione nei successivi quindici giorni? (ivi, commi 3 e 4).
Ma SOPRATTUTTO CHE :Rispetto a documenti, dati e informazioni, relativi al procedimento inerente al permesso di costruire,  il legislatore statale ha previsto un preciso regime di pubblicit? solo per l?atto finale del procedimento, sancendo che ?Dell?avvenuto rilascio del permesso di costruire ? data notizia al pubblico mediante affissione all?albo pretorio? e che ?Gli estremi del permesso di costruire sono indicati nel cartello esposto presso il cantiere, secondo le modalit? stabilite dal regolamento edilizio?
CONCLUSIONI SUL PUNTO: Rispetto a tali informazioni pubbliche, nel caso in esame, l?istanza di accesso civico ha a oggetto una documentazione davvero molto vasta, comprendendo, fra l?altro, oltre gli estremi del permesso di costruire, anche tutta la documentazione integrale presentata nel corso degli anni, fra cui le SCIA presentate con le relative varianti, agibilit?, innumerevoli planimetrie, piante architettoniche, relazioni geologiche, prospetti, piante grafiche, rilievi, allaccio utenze (acquedotto-enel-gas-smaltimento acque reflue), impianti (termici ed elettrici), collaudi, tabelle riepilogative, elaborati e relazioni tecniche, lettera di risposta alle richieste e prescrizioni, attestato di pagamento dei diritti di segreteria, materiale fotografico, procure, nonch? i Programmi Aziendali Pluriennali di Miglioramento Agricolo Ambientale, con schede programma, relazione, verifiche di conformit?. Per i predetti atti, compreso le Segnalazioni certificate di inizio di attivit?-SCIA, non esiste un obbligo di pubblicazione da parte delle pp.aa. (cfr. parere contenuto in provv. n. 1 del 3/1/2019, in www.gpdp.it, doc. web n. 9080951).
Si tratta, QUINDI, di materiale contenente atti, dati e informazioni ? di tipo anche personale ? di natura molto eterogenea. In quasi tutte le parti sono contenuti riferimenti a dati personali. Il riferimento ?, ad esempio, ai titoli di propriet?; ai nominativi, data e luogo di nascita, codici fiscali, residenza, e-mail, p.e.c., numeri di telefono riferiti al titolare dell?intervento, in qualit? di proprietario, o del relativo rappresentante; ai dati dei tecnici incaricati (progettista, direttore dei lavori, assuntore delle opere, ecc.); Si tratta in molti casi di dati anche di soggetti terzi diversi dal titolare dell?Azienda controinteressato ? che non risultano peraltro essere stati coinvolti nel procedimento di accesso civico ? quali progettisti, impiantisti, altri tecnici a vario titolo.
Sul punto, QUINDI  ? l?amministrazione destinataria della richiesta a dover valutare, anche la possibilit? ? laddove ritenuto necessario ? di avviare eventualmente un dialogo cooperativo con il richiedente l?accesso ?nel tentativo di ridefinire l?oggetto della richiesta entro limiti compatibili con i principi di buon andamento e di proporzionalit??
Detto ci? il Garante continua dicendo che in relazione ai numerosi dati personali sopra descritti, contenuti nella documentazione oggetto di accesso civico, deve essere ricordato che i dati e i documenti che si ricevono, a seguito di una istanza di accesso civico, divengono ?pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell?articolo 7?, sebbene il loro ulteriore trattamento vada, in ogni caso, effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d. lgs. n. 33/2013).
Di conseguenza, ? anche alla luce di tale amplificato regime di pubblicit? dell?accesso civico che va valutata l?esistenza di un possibile pregiudizio concreto alla protezione dei dati personali dei soggetti controinteressati, in base al quale decidere se rifiutare o meno l?accesso integrale ai documenti richiesti, oppure fornire un accesso parziale.
Inoltre, ? necessario rispettare, in ogni caso, i principi del RGPD di ?limitazione della finalit?? e di ?minimizzazione dei dati?, in base ai quali i dati personali devono essere ?raccolti per finalit? determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalit??, nonch? ?adeguati, pertinenti e limitati a quanto necessario rispetto alle finalit? per le quali sono trattati? (art. 5, par. 1, lett. b e c).
In tale quadro ? ai sensi della normativa vigente, delle richiamate indicazioni contenute nelle Linee guida dell?ANAC in materia di accesso civico ?che l?ostensione dei dati personali contenuti nella documentazione richiesta tramite l?accesso civico ? anche considerando il particolare regime di pubblicit? dei dati e informazioni ricevuti tramite l?istituto dell?accesso civico (cfr. art. 3, comma 1, d. lgs. n. 33/2013) ? pu? arrecare ai soggetti interessati, a seconda delle ipotesi e del contesto in cui le informazioni fornite possono essere utilizzate da terzi proprio quel pregiudizio concreto alla tutela della protezione dei dati personali previsto dall'art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013, determinando un?interferenza ingiustificata e sproporzionata nei diritti e libert? dei soggetti coinvolti, in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. b e c, del RGPD).
Per tutto quanto sopra considerato, cos? il GARANTE CONCLUDE ?L'ostensione di tutti i documenti oggetto della richiesta verrebbe quindi a costituire [?] un possibile pregiudizio concreto alla tutela della protezione dei dati personali (del titolare dell'azienda, del progettista, degli altri soggetti coinvolti nell?attuazione del progetto assentito), nonch? degli interessi comunque economici e commerciali, tra cui la propriet? intellettuale, con specifico riferimento agli elaborati progettuali? e non v hi sono ragioni per dissentire, in relazione al rispetto dei principi in materia di protezione dei dati personali, dalla soluzione proposta dallo stesso Responsabile della prevenzione della corruzione e della trasparenza per la quale sussistono ?ragioni per respingere l?istanza di accesso generalizzato ovvero per limitarla esclusivamente al permesso di costruire, quale atto amministrativo, limitatamente ai dati ed alle informazioni gi? oggetto di pubblicit? ai sensi dell'articolo 20, comma 6, del D.P.R. n. 380/2001?.
Grazie per la Vostra attenzione
SP

Offline Simonetta Pezzola

  • Nuovi iscritti
  • *
  • Post: 17
  • Nuovo iscritto
    • Mostra profilo
    • E-mail
Omessa nomina del responsabile del trattamento, il Garante per la Privacy sanziona la Regione Lazio

Il Garante per la protezione dei dati personali ha sanzionato la Regione Lazio per non aver nominato quale responsabile del trattamento dati la Societ? XXX, a cui l?Ente aveva affidato la gestione delle prenotazioni delle prestazioni sanitarie, attraverso il call center regionale (ReCUP).

La societ? ha dunque trattato i dati dei pazienti in modo illecito per un decennio, dal 1999 al 7 gennaio 2019, data in cui la Regione, in qualit? di titolare, ha designato formalmente la societ? XXX responsabile del trattamento, ben oltre l?inizio di piena applicazione del Regolamento europeo in materia di protezione dei dati personali.

Con il provvedimento il Garante ha ribadito che le societ? che prestano servizi per conto del titolare e che di conseguenza trattano i dati personali degli utenti, devono essere designate responsabili del trattamento. Il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, prevede nel dettaglio le regole e i limiti con cui devono essere trattati i dati personali. Il responsabile ?, pertanto, legittimato a trattare i dati degli interessati ?soltanto su istruzione documentata del titolare.

L?Autorit? ha multato la Regione per 75.000 euro ed ha applicato la sanzione accessoria della pubblicazione del provvedimento sul sito dell?Autorit?.

 (da Ordinanza-ingiunzione Garante della Protezione Dati  del 10.01.2021 n.9)

Offline Simone Chiarelli

  • Dott. Simone Chiarelli
  • Administrator
  • Membro Super
  • *****
  • Post: 22.882
  • Dott. Simone Chiarelli
    • Mostra profilo
    • Chiarelli Simone
    • E-mail
Gr017 - Gruppo di studio di "GDPR e protezione dati"
« Risposta #1 il: 13 Marzo 2021, 11:24:56 »
Gr017 - Gruppo di studio di "GDPR e protezione dati"



Supervisore: dott. Simone Chiarelli

Coordinatrice: dott.ssa Simonetta Pezzola

Giorno di riunione: Giovedì ore 16:30

Programma:
1.Benvenuto GDPR! Regolamento EU 2016/679
2. Articoli 1-4 : definizioni
3. Articoli 5 e 6:  principi applicabili e condizioni di liceit√† del trattamento
4. Art. 9 e 10: particolari categorie di dati
5. I diritti dell'interessato
6. Figure e ruoli Privacy
7. DPO - responsabile della protezione dati
8. Informazioni e accesso ai dati
9. Data breach
10 Autorità Garante e controlli .

ISCRIZIONE AL GRUPPO: https://formazione.omniavis.com/courses/gr017

REGOLAMENTO DEI GRUPPI: http://www.omniavis.it/web/forum/index.php/topic,57794.0.html
« Ultima modifica: 13 Marzo 2021, 11:25:48 da Simone Chiarelli »
* * * * * * * * * *
Dott. Simone Chiarelli - simone.chiarelli@gmail.com - tel. 3337663638
* * * * * * * * * *
https://formazione.omniavis.com/bundles/book          https://www.youtube.com/user/simonechiarelli