Le principali notizie dal mondo della privacy – febbraio 2025
Richiedere l’identità di genere per l’acquisto di un biglietto del treno viola le norme del GDPR
La vicenda ha origine dalla richiesta obbligatoria da parte della società ferroviaria francese la NCF CONNECT di indicare nel momento, in cui si acquista on line un biglietto del treno, la propria identità di genere (Signore o Signora).
L’associazione Mousse e Stop Homophobie ritenendo che tale richiesta violi le norme dettate dal GDPR ha presentato istanza dinanzi all’Autorità francese per la protezione dei dati personali, nel 2021 tale autorità respinse il reclamo ritenendo la prassi legittima. Contro tale provvedimento l’associazione ha presentato ricorso al Consiglio di Stato si è rivolto alla Corte di Giustizia Europea la quale ha affermato che “La raccolta di dati relativi all’appellativo dei clienti non è oggettivamente indispensabile, in particolare, quando essa ha come finalità una personalizzazione della comunicazione commerciale”.
Raccogliere solo i dati personali essenziali è un principio fondamentale per il GDPR
La decisione non ha carattere ideologico ma applica semplicemente un principio fondamentale, quello della minimizzazione del dato (articolo 5 GDPR lettera c – Principi generali del trattamento di dati personali), che prevede che possano essere trattati solo i dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
La regola generale vale anche per la conclusione di un contratto, che si tratti di un biglietto del treno o di altra tipologia di contratto di vendita di servizi o prodotti poco importa, possono essere raccolti e trattati solo i dati essenziali oggettivamente indispensabile per consentire la corretta esecuzione di tale contratto, quali ad esempio nome e cognome del contraente null’altro.
Chi raccoglie dati in eccedenza non solo archivia dati inutilizzabili ma rischia una sanzione fino a 20.000.000 di euro o pari al 4% del fatturato.
Per maggiori dettagli, leggi le fonti riportate di seguito:
USL: i certificati non devono rivelare informazioni sensibili sulla salute
I certificati rilasciati da una USL non debbono contenere “indicazioni della struttura presso la quale è stata erogata la prestazione sanitaria, il timbro con la specializzazione del medico, o informazioni che possano far risalire allo stato di salute”.
La vicenda origina da un reclamo presentato da una signora all’ASL di Ascoli Piceno senza alcun riscontro da parte del DPO di tale azienda sanitaria.
Non avendo avuto riscontro ha presentato reclamo al Garante Privacy con il quale “ha lamentato che l’Azienda Sanitaria Territoriale di Ascoli Piceno, di seguito “Azienda”, avrebbe fornito “all’utente che ne fa richiesta un attestato (da presentare al datore di lavoro come giustificazione dell’assenza) che riporta il reparto presso cui il paziente ha effettuato la prestazione (neurologia, ginecologia, ortopedia), vanificando in tal modo il diritto dell’utente di non voler far sapere al datore di lavoro e al relativo ufficio del personale in quale ambito si stanno facendo accertamenti, visite o trattamenti”.
I Certificati di Assenza da Lavoro non Devono Contenere Informazioni Sensibili
A seguito di tale reclamo l’uffici del Garante ed in relazione ai fatti descritti nel reclamo ha notificato all’Azienda Sanitaria l’avvio del procedimento invitandola a produrre scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità.
In particolare il Garante ha ritenuto che l’ASL abbia effettuato un trattamento di dati sulla salute della reclamante non conforme alle disposizioni di cui agli artt. 5, par. 1, lett. c) e f), 25 e 32 del Regolamento, in violazione dei principi di minimizzazione, di integrità e riservatezza, di protezione dei dati fin dalla progettazione (privacy by design) nonché degli obblighi in materia di sicurezza del trattamento, indicando, nei moduli di certificazione, richiesti dalla paziente per giustificare l’assenza dal lavoro, il reparto presso il quale l’interessata ha effettuato la prestazione sanitaria e il timbro con la specializzazione del sanitario.
Il Garante preso atto di quanto rappresentato dall’Azienda nella documentazione nelle memorie difensive e l’ha sanzionato per 17mila euro in quanto la stessa ha violato gli obblighi in materia di sicurezza e il principio di minimizzazione dei dati personali.
Il tutto anche se l’USL, in seguito all’istruttoria avviata dal Garante, ha modificato la modulistica ed ha provveduto ad effettuare una specifica formazione del personale in materia di protezione dei dati personali.
Per maggiori dettagli, leggi le fonti riportate di seguito:
Condividi