NEWSLETTER PRIVACY

NOVEMBRE 2024

Privacy: necessario il consenso esplicito del cliente per l’e-commerce di medicinali riservati alle farmacie.

La Corte di Giustizia UE, con sentenza depositata il 4 ottobre 2024 nella causa C-21/23, afferma che la vendita online di medicinali riservati alle farmacie richiede il consenso esplicito del cliente al trattamento dei suoi dati, anche se tali medicinali non sono soggetti a prescrizione medica.

La sentenza in esame trae origine da un conflitto tra due farmacie online tedesche. La prima, dal 2017, commercializzava medicinali riservati alle farmacie tramite la piattaforma Amazon Marketplace, la quale nell’effettuazione dell’ordine richiedeva agli utenti di inserire informazioni quali il loro nome, l’indirizzo di consegna e i dati necessari per identificare i medicinali.

La seconda farmacia, concorrente della prima, ha convenuto in giudizio quest’ultima, chiedendo di inibire la vendita online su Amazon Marketplace fino a quando i clienti non potessero esprimere il proprio consenso al trattamento dei dati relativi alla salute, sostenendo che la vendita su tale piattaforma di medicinali riservati alle farmacie fosse sleale, non rispettando i requisiti di legge in materia di consenso al trattamento dei dati personali.

Interpellata sulla questione, la Corte UE chiarisce che costituiscono dati relativi alla salute, ai sensi del RGPD, le informazioni inserite dai clienti (quali il loro nome, l’indirizzo di consegna e gli elementi necessari all’individuazione dei medicinali) al momento dell’ordine online.

Infatti, tali dati sono idonei a rivelare informazioni sullo stato di salute di una persona fisica, stabilendo un nesso tra quest’ultima e un medicinale, le sue indicazioni terapeutiche o i suoi usi e ciò indipendentemente dal fatto che tali informazioni riguardino il cliente o qualsiasi altra persona per la quale quest’ultimo effettui l’ordine. Di conseguenza, il venditore deve informare i clienti in modo accurato, completo e facilmente comprensibile in merito alle caratteristiche e alle finalità specifiche del trattamento dei dati e chiedere il loro consenso esplicito al trattamento.

Data breach: il Garante sanziona Postel S.p.A. per 900 mila Euro.

Il Garante Privacy, con Provvedimento n. 10063782 del 4 luglio 2024, ha applicato una sanzione di 900 mila Euro a Postel S.p.A. che non è intervenuta su una vulnerabilità dei propri sistemi, nota da quasi un anno, attraverso la quale ha poi subito una violazione dei dati personali.

Nell’agosto del 2023, la Società è stata oggetto di un attacco informatico di tipo ransomware che ha causato il blocco dei server e di alcune postazioni di lavoro.

L’attacco ha comportato l’esfiltrazione di file contenenti i dati personali di circa 25 mila interessati, fra dipendenti, ex dipendenti, congiunti, titolari di cariche societarie, candidati a posizioni lavorative e rappresentanti di imprese che intrattenevano rapporti commerciali con Postel.

Le informazioni sono state successivamente pubblicate nel dark web e riguardavano dati anagrafici e di contatto, dati di accesso e identificazione, dati di pagamento, nonché dati relativi a condanne penali e reati e dati che rivelano l’appartenenza sindacale e relativi alla salute.

La vulnerabilità, già segnalata, prima dal produttore del software, nel settembre 2022 e poi dall’Agenzia per la cybersicurezza nazionale, nel novembre 2022, era stata trascurata da Postel, la quale è venuta meno agli obblighi previsti dalla normativa in tema di protezione dei dati personali, che richiede l’adozione di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio.

Peraltro, il Garante ha rilevato che nella notifica di data breach, la Società non ha fornito informazioni esaustive sulla violazione e sulle misure di mitigazione o di eliminazione delle vulnerabilità riscontrate, comportando un allungamento dei tempi per le verifiche da parte dell’Autorità.

Di conseguenza, con il provvedimento adottato, il Garante ha ingiunto a Postel, oltre al pagamento della sanzione di 900 mila Euro, anche l’obbligo di effettuare analisi circa le vulnerabilità dei propri sistemi, di predisporre un piano per rilevarle e gestirle e di individuare tempistiche di rilevamento e di risposta adeguate al rischio.

Garante Privacy: stop al software che accede all’e-mail del dipendente.

Il datore di lavoro non può accedere alla posta elettronica del dipendente o del collaboratore, né utilizzare un software per conservare una copia dei messaggi. Lo ha stabilito il Garante Privacy con Provvedimento n. 10053224 del 17 luglio 2024.

Il Garante, intervenuto a seguito del reclamo presentato da un agente di commercio, ha accertato che la Società con cui questi collaborava, per l’intero corso del rapporto di lavoro, attraverso un software, aveva effettuato un backup della posta elettronica, conservando i contenuti ed i log di accesso sia alla e-mail aziendale che al gestionale utilizzato dalla stessa Società. Le informazioni raccolte erano poi state utilizzate dall’impresa nell’ambito di un contenzioso.

L’Autorità ha appurato, inoltre, l’inidoneità dell’informativa resa ai lavoratori, che prevedeva la possibilità, per il datore di lavoro, di accedere alla posta elettronica dei propri dipendenti e collaboratori per garantire la continuità dell’attività aziendale, in caso di loro assenza o cessazione del rapporto, senza citare, peraltro, l’effettuazione del backup ed il relativo tempo di conservazione.

Il Garante ha affermato che la sistematica conservazione delle e-mail e dei log di accesso alla posta elettronica aziendale ed al gestionale utilizzato dai lavoratori risultava non proporzionata e non necessaria al conseguimento delle finalità dichiarate dalla Società di garantire la sicurezza della rete informatica e la continuità dell’attività aziendale.

Ciò, peraltro, aveva consentito alla Società di ricostruire, minuziosamente, l’attività del collaboratore, incorrendo così in una forma di controllo vietata dallo Statuto dei lavoratori.

Con riferimento all’uso dei dati così raccolti in tribunale, il Garante ricorda che il trattamento effettuato accedendo alla posta elettronica del dipendente per finalità di tutela in ambito giudiziario si riferisce a contenziosi già in atto, non, invece, ad ipotesi di tutela astratte e indeterminate, come nel caso di specie.

Pertanto, oltre alla condanna al pagamento di una sanzione di 80 mila Euro, l’Autorità ha disposto il divieto di ulteriore trattamento dei dati attraverso il software sinora utilizzato.

Assegno di inclusione (ADI): Garante Privacy favorevole alle verifiche INPS.

Parere favorevole (n. 10063523 del 12 settembre 2024) del Garante Privacy sulle modalità e sulle misure tecniche ed organizzative che l’INPS adotterà per utilizzare le informazioni necessarie per effettuare i controlli nell’ambito della concessione dell’Assegno di Inclusione (ADI) e del Supporto per la Formazione e il Lavoro (SFL).

Il Garante per la protezione dei dati personali ha espresso parere favorevole sul protocollo che l’INPS adotterà per monitorare i requisiti dell’Assegno di Inclusione (ADI) e del Supporto per la Formazione e il Lavoro (SFL). Le misure si sono rese necessarie a fronte della quantità e delicatezza dei dati trattati, tra i quali figurano quelli relativi alla salute, ai minori ed alle sentenze di condanna.

Le misure di garanzia approvate dal Garante Privacy consentono all’Istituto di utilizzare, per la verifica circa il possesso dei requisiti necessari, i dati provenienti dai propri database e quelli messi a disposizione dalle altre amministrazioni, evitando così che l’erogazione dell’assegno di inclusione venga destinato a chi non ne ha diritto.

È stato stabilito che, nelle ipotesi di scambi informativi tra l’INPS e le amministrazioni competenti – Comuni, Ministero dell’Interno, ACI, Agenzia delle Entrate, Ministero della Giustizia e Ministero dell’Istruzione – i dati oggetto di trattamento debbano essere esclusivamente quelli strettamente necessari ad effettuare i controlli previsti dalla legge.

Nel testo vengono anche definite le procedure per la trasmissione tempestiva di informazioni tra l’INPS e le altre amministrazioni in caso di violazioni di sicurezza (ad esempio in caso di data breach).

La tutela nel caso di utilizzo e diffusione abusiva di una fotografia.

I Tribunali di Firenze e Catanzaro intervengono su alcuni casi di richieste di inibitoria dell’utilizzo da parte di portali e siti web di viaggi e di cronaca locale di fotografie in violazione del diritto d’autore e approfondiscono la tematica della fotografia come opera dell’ingegno.

Il nostro ordinamento distingue tre diverse tipologie di fotografie e la corretta qualificazione della fotografia risulta indispensabile per comprendere l’estensione della tutela accordata secondo la normativa vigente ed evitare di incorrere in violazione di diritti di terzi.

Il Tribunale di Catanzaro è intervenuto sul concetto giuridico di creatività, cui fa riferimento la Legge sul diritto d’autore (L. n. 633/1941) per le opere fotografiche, affermando che: “che un’opera d’ingegno riceve protezione a condizione che sia riscontrabile in essa un atto creativo suscettibile di manifestazione nel mondo esteriore, il quale, però, può non essere solamente costituito dall’idea in sé, ma può anche riguardare la forma della sua espressione o della sua soggettività, di modo che la stessa idea possa essere alla base di diverse opere”. Il medesimo Tribunale ha poi chiarito che occorre verificare, ai fini della tutela, se nell’immagine – di cui si lamenta l’uso senza il consenso dell’autore – è possibile individuare il contributo creativo dell’autore, ossia ciò che consente di distinguere la fotografia dall’oggetto riprodotto e dalle tecniche utilizzate per ritrarlo. La qualificazione dell’immagine come opera dell’ingegno presuppone, infatti, l’accertamento del requisito di creatività e consente di accordare al fotografo il riconoscimento dei diritti d’autore, tra cui quelli morali.

Nello stesso modo si è pronunciato anche il Tribunale di Firenze secondo cui, ai fini di una tutela, è necessario accertare che si tratti di un’opera fotografica, ossia un’opera nella quale è distinguibile l’apporto personale del suo autore, inteso come contributo creativo.

Pubblicato il Decreto di adeguamento della normativa nazionale al Data Governance Act (DGA).

È stato pubblicato nella Gazzetta Ufficiale n. 238 del 10 ottobre 2024 il D.Lgs. n. 144 del 7 ottobre 2024, recante norme di adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2022/868 del 30 maggio 2022 (Data Governance Act – DGA), relativo alla governance europea dei dati.

Il Data Governance Act è un atto diretto a disciplinare le specifiche condizioni per un “riutilizzo dei dati” in possesso di enti pubblici.

Il Decreto, dunque, disciplina, a livello nazionale, determinati aspetti (tra cui la designazione degli organismi competenti per assistere gli enti pubblici che, ai sensi del DGA, concedono o rifiutano l’accesso al riutilizzo di dati, nonché l’individuazione dell’autorità competente a svolgere i compiti relativi alle procedure connesse ai servizi di intermediazione dei dati), la cui regolamentazione è stata demandata ai singoli Stati.

La novità principale riguarda l’affidamento all’Agenzia per l’Italia digitale (AgID), del ruolo di autorità competente allo svolgimento dei compiti relativi alla procedura di notifica per i servizi di intermediazione dei dati, nonché di autorità competente alla registrazione di organizzazioni per l’altruismo dei dati. L’AgID svolge la propria attività in maniera imparziale, trasparente, coerente, affidabile e tempestiva, salvaguardando la concorrenza leale e la non discriminazione e in conformità agli ulteriori requisiti previsti.

Progetto S.IN.D.A.C.A.: via libera del Garante Privacy.

Il Garante ha reso parere (n. 10064748 del 18 luglio 2024) sullo schema di Decreto direttoriale (a firma congiunta del Ministero dell’interno e Ministero della giustizia) che individua le specifiche tecniche per la messa a disposizione dell’autorità giudiziaria e dei soggetti abilitati (es. avvocati, cancellieri, ecc.) della videoregistrazione dei colloqui dei richiedenti asilo (c.d. Progetto “S.IN.D.A.C.A” – Sistema Informativo di Documentazione delle Audizioni delle Commissioni Asilo).

Il Decreto direttoriale attua specifiche disposizioni di settore, di derivazione europea, con riferimento alle procedure per il riconoscimento e la revoca dello status di rifugiato negli Stati membri, in particolare quelle relative al colloquio del richiedente asilo innanzi alle Commissioni Asilo territoriali. Il colloquio con gli interessati è videoregistrato con mezzi audiovisivi, trascritto in lingua italiana tramite sistemi automatici di riconoscimento vocale e, di seguito, letto al richiedente in una lingua a lui comprensibile. Il verbale della trascrizione viene conservato, insieme alla videoregistrazione, in un apposito archivio informatico presente presso il Ministero dell’Interno.

Solo in caso di eventuale ricorso promosso contro la decisione della Commissione territoriale, la videoregistrazione e il verbale di trascrizione sono messi a disposizione dell’autorità giudiziaria e dei soggetti abilitati.

Lo schema, che tiene conto delle indicazioni fornite dall’Ufficio del Garante in tema di sicurezza dei dati e del sistema, prevede specifiche misure tecniche e organizzative idonee a tutelare la privacy degli interessati.

L’Autorità, all’interno del parere reso, ha, inoltre, richiesto un ulteriore perfezionamento del decreto, evidenziando la necessità di definire precisamente i termini di conservazione dei dati e di individuare quale titolare del trattamento dei dati personali il Ministero dell’Interno.

Legittima la sospensione del lavoratore che rifiuta la nomina ad incaricato al trattamento dei dati personali.

È legittima, secondo il Tribunale del Lavoro di Udine (ordinanza dell’1 agosto 2024), la sospensione dal servizio e della retribuzione della lavoratrice che si era rifiutata di sottoscrivere l’atto di designazione come incaricata al trattamento dei dati personali.

La vicenda trae origine dal rifiuto di una lavoratrice, con mansioni di portalettere, di firmare la lettera di designazione quale incaricato al trattamento di dati, atto contenente, in conformità a quanto previsto dalla normativa applicabile, le istruzioni sulle modalità di trattamento dei dati, nonché l’accettazione dell’impegno a trattare i dati con la dovuta riservatezza e a svolgere la specifica formazione in materia, fornita dallo stesso datore di lavoro. La dipendente aveva impugnato il provvedimento di sospensione dall’attività comminatole, chiedendo la riammissione al lavoro e, in subordine, l’assegnazione a mansioni diverse, tuttavia, il Tribunale di Udine ha rigettato le sue richieste.

L’azienda ha difeso la propria decisione sostenendo che, senza la sottoscrizione dell’atto di designazione ad incaricato del trattamento, la lavoratrice non poteva operare nel rispetto della normativa sulla privacy, esponendo così l’azienda al rischio di incorrere in responsabilità.

Il GDPR impone, infatti, ai datori di lavoro di garantire che i propri dipendenti, i quali trattano dati personali, siano adeguatamente formati ed autorizzati a procedervi. Il rifiuto della lavoratrice è stato, quindi, interpretato come un comportamento disciplinarmente rilevante, nonché un impedimento allo svolgimento delle sue normali mansioni.

Leggi anche:

  • NEWSLETTER PRIVACY MAGGIO 2025 - 1 maggio 2025 Privacy e rettifica dati sull’identità di genere: no alla prova dell’operazione chirurgicaLa Corte Ue di Giustizia Ue ha innanzitutto ricordato l’importanza del “principio di esattezza” previsto dall’art. 5, par. 1, lett. d) del GDPR, secondo cui l’interessato ha il diritto di ottenere dal titolare del trattamento, senza ingiustificato ritardo, la rettifica dei dati… Read More
  • NEWSLETTER 5/2025 - Novita’ normative Con la nota del 10 aprile 2025, il Ministero del Lavoro interviene sulla nuova procedura di dimissioni per fatti concludenti come prevista dal Collegato lavoro e già oggetto di interpretazione con la circolare n. 6/2025. Un termine eccessivamente breve, sostiene il Ministero, potrebbe compromettere le garanzie minime di difesa del lavoratore, ritrovandosi nell’impossibilità… Read More
  • NEWSLETTER PRIVACY - APRILE 2025 Via libera al Senato al disegno di legge su AI. È stato approvato in Senato il Ddl. 1146, recante “Disposizioni e delega al Governo in materia di intelligenza artificiale” che, insieme al Regolamento Ue 2024/1689, compone il quadro normativo in tema di AI applicabile in Italia. Il testo passa ora all’esame della Camera.… Read More
Ultime News