Ultime sanzioni dei Garanti Privacy ai tempi del coronavirus
I controlli e le sanzioni dei Garanti privacy europei non si sono fermati nemmeno in questo periodo di emergenza coronavirus. Adesso si parla in maniera costante di App che tracciano i movimenti delle persone per limitare il contagio da COVID-19, e nascono dibattiti molto accessi sulle possibili ripercussioni sul lato privacy, ma non dobbiamo dimenticare che molte volte, la tutela dei dati personali, viene violata da situazioni “più tradizionali”.
Riportiamo alcuni casi recenti avvenuti nei primi mesi del 2020.
Per il primo caso vogliamo segnalare il provvedimento adottato dall’Autorità islandese che ha inflitto una sanzione al National Center of Addiction Medicine (S.Á.Á), pari a 20.643 EUR. Il fatto vede protagonista un ex dipendente, che doveva ritirare un box di cartone contenente suoi effetti personali ma che includeva inoltre, anche numerosi dati personali di pazienti ed ex pazienti e documenti con i nomi di circa 3.000 persone che avevano partecipato alla riabilitazione per abuso di alcol e droghe. Vista la natura dei dati in oggetto, è facile capire la gravità di questo caso.
Rivolgendo lo sguardo in Italia invece, di particolare interesse è la decisione presa da parte del Garante a seguito di un reclamo proveniente da una dipendente comunale.
L’attività istruttoria dell’Autorità del Garante era scattata a seguito della segnalazione inviata della stessa lavoratrice che aveva lamentato la pubblicazione di un documento, sul sito web istituzionale del Comune di Urago d’Oglio, al cui interno erano presenti dati personali, anche relativi alla salute.
Il Garante della privacy ha quindi ordinato al Comune, di pagare la somma di 4 mila euro a titolo di sanzione amministrativa pecuniaria. Inoltre, ha predisposto il pagamento da parte dello stesso Comune della somma di 4 mila euro nel caso di mancata definizione della controversia con la dipendente.
Un altro caso interessante, sempre italiano, riguarda il provvedimento sanzionatorio emesso nei confronti dell’Azienda Ospedaliero Universitaria Integrata di Verona. La sanzione è scattata in seguito alla constatazione dell’accesso ai dati sanitari da parte di persone non autorizzate, consentendo a un tirocinante e a un radiologo di accedere ai dati sanitari dei propri colleghi, sfruttando credenziali condivise.
In questo caso è stato violato quanto riportato nell’art. 5, lett. f) del GDPR, in quanto le misure tecniche e organizzative adottate dall’Azienda si sono rilevate non adeguate.