329 233 1915 - 06 85 50 439 studio@ricorsogdpr.it

Privacy: Pa e servizi assicurativi, attenzione agli errori nei bandi di gara
E’ scorretto obbligare l’assicurazione vincitrice ad assumere l’incarico di responsabile del trattamento

Le pubbliche amministrazioni non devono inserire nei bandi di gara per i servizi assicurativi, l’obbligo per le compagnie aggiudicatarie di assumere l’incarico di responsabile del trattamento dei dati. L’assicurazione, infatti, ai sensi del Regolamento europeo sulla protezione dei dati e della normativa di settore, mantiene la sua autonomia decisionale, in qualità di titolare del trattamento.

Lo ha chiarito il Garante per la privacy nel parere fornito a una società assicuratrice che si lamentava di non poter partecipare a gare per l’affidamento dei servizi assicurativi a causa di alcune clausole in merito al trattamento dei dati, a suo avviso errate, imposte dagli enti aggiudicanti. Alcuni enti pubblici, nonché alcune società controllate o partecipate, nel predisporre i capitolati, avevano infatti previsto l’obbligo contrattuale per le compagnie che offrivano servizi assicurativi (come polizze sugli infortuni o sulla responsabilità civile di terzi) di riconoscere la titolarità della Pa per le decisioni in merito al trattamento dei dati personali.

Nel corso dell’istruttoria, l’Autorità ha precisato, invece, che la compagnia assicurativa deve assumere la posizione di titolare autonomo del trattamento. L’ente aggiudicante e la compagnia assicuratrice perseguono, infatti, interessi separati e distinti, che impediscono all’assicurazione di porre in essere un trattamento di dati “per conto” dell’ente aggiudicante. Tale autonomia è particolarmente evidente nella fase di gestione dei sinistri, laddove la compagnia debba decidere se liquidare direttamente un sinistro senza particolari formalità, ovvero avviare più puntuali verifiche o anche resistere in giudizio.

Nel suo parere, il Garante ha inoltre sottolineato che la compagnia assicuratrice deve comunque agire nel pieno rispetto della disciplina in materia di protezione dati personali. Potrà dunque utilizzare i dati acquisiti solo per le finalità previste dal contratto e non per altre, quali ad esempio il marketing.

In un’ottica di responsabilizzazione (accountability) dei soggetti, pubblici e privati, che trattano i dati, prevista dal Regolamento europeo (Gdpr), l’Autorità ha comunque rimarcato l’utilità di inserire nei bandi di gara clausole che consentano di selezionare contraenti in grado di fornire le più idonee garanzie in materia di protezione dei dati personali.

_______________________________

Food delivery, marketing, fatturazione elettronica sotto la lente del Garante
In pieno svolgimento le attività ispettive in programma nel secondo semestre

Sono in corso di svolgimento le attività ispettive del Garante per la privacy programmate per il secondo semestre 2019. Gli accertamenti, un centinaio – svolti in collaborazione con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza – interessano innanzitutto i trattamenti di dati effettuati dagli istituti bancari, con particolare riguardo ai flussi verso l’anagrafe dei conti correnti bancari, i trattamenti di dati svolti dalle società che operano nel settore del food delivery e quelli effettuati dalle aziende che svolgono attività di marketing. Sotto la lente del Garante anche altri delicati settori: le banche dati di notevoli dimensioni degli enti pubblici e gli applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing); le attività di profilazione dei possessori di carte fedeltà;  i trattamenti di dati svolti dagli intermediari che offrono servizi per la fatturazione elettronica. Particolare attenzione viene riservata anche alle società private che trattano dati personali in ambito sanitario. I controlli si concentrano anche sul rispetto delle norme sull’obbligo dell’informativa e il consenso, e sulla durata della conservazione dei dati. Oltre alle ispezioni in programma nel secondo semestre, l’Autorità potrà disporre ulteriori accertamenti d’ufficio a seguito di segnalazioni o reclami.

Intanto per quanto riguarda il bilancio del primo semestre 2019 va segnalata innanzitutto l’iscrizione a ruolo di 779 contravventori che porterà ad una riscossione complessiva di circa 11 milioni di euro.

A breve, poi, si concluderà l’iter per l’iscrizione di altri 500 trasgressori. L’avvio della procedura esecutiva per un numero così rilevante di casi fa seguito alla scarsa adesione alla sanatoria introdotta dal d.lgs n. 101/2018: sugli oltre 1300 contravventori che rientravano nell’ambito di applicazione del decreto solo 88 si sono avvalsi di questa facoltà, versando un totale di 386.400 euro.

Nei primi sei mesi del 2019, inoltre, sono state realizzate 65 ispezioni, anche con l’ausilio della Guardia di finanza, che hanno interessato, tra l’altro, call center, aziende di marketing, società che rilasciano Spid, grandi alberghi, banche dati di rilevanti dimensioni della Pa.

Nello stesso periodo le entrate derivanti dall’attività sanzionatoria sono state pari a 1.222.955 euro e 86 sono state le ordinanze adottate, alcune relative a casi complessi riguardanti molteplici violazioni, per un totale di 3.250.390 euro.

_______________________________

Nautica da diporto, chieste maggiori tutele per i dati personali

Maggiori tutele per i dati personali trattati nell’ambito della nautica da diporto. E’ quanto chiede, in particolare, il Garante per la privacy nel dare il suo parere al Ministero dei Trasporti sul Codice della nautica da diporto. Il Garante ha formulato una serie di osservazioni sullo schema di decreto legislativo del Ministero – che riforma il precedente decreto del 2017 e sul quale l’Autorità aveva già reso parere – al fine di rendere lo schema pienamente conforme ai principi ed alle garanzie in materia di protezione dei dati personali.

Scopo del decreto è aggiornare i procedimenti amministrativi in materia di nautica da diporto alle previsioni del sistema telematico centrale ad essa riferito (SISTE), istituire l’Ufficio di conservatoria centrale delle unità da diporto (UCON), completare e chiarire il Codice attraverso una maggiore sistematicità e semplificazione del quadro dei decreti attuativi.

Diversi gli ambiti che hanno interessato le indicazioni del Garante in questa complessa materia, tra cui l’Elenco nazionale degli istruttori di vela, l’Anagrafe nazionale delle patenti, l’Archivio nazionale dei prodotti delle unità da diporto e i dati riportati sulla patente nautica.

L’Autorità ha suggerito, tra l’altro, al Ministero di integrare lo schema, prevedendo l’utilizzo di codici comunitari armonizzati o di codici nazionali per annotare sulla patente nautica le limitazioni e le prescrizioni nei confronti di soggetti affetti da problematiche psicofisiche, impedendo in tal modo la diretta conoscibilità delle informazioni sullo stato di salute.

Rispetto all’Anagrafe nazionale delle patenti nautiche, completamente informatizzata, il Garante ha chiesto inoltre di chiarire, nel rispetto dei principi di trasparenza e correttezza del trattamento, quali dati debbano essere forniti dai vari soggetti interessati. Particolare attenzione è stata rivolta a tutelare i dati sensibili e giudiziari e ad evitare inutili duplicazioni di dati anagrafici alla luce del principio di proporzionalità previsto dalla normativa in materia di privacy.

_______________________________

Gdpr: è online l’ultimo pacchetto di webinar della piattaforma T4Data

E’ disponibile il quarto e ultimo modulo dei webinar dedicati ai Responsabili della Protezione dei Dati dei soggetti pubblici, realizzati nell’ambito del progetto formativo transnazionale T4Data.

Il modulo pubblicato sulla piattaforma di formazione e-learning contiene 13 lezioni con approfondimenti su tematiche che vanno dal lavoro alla sanità, dalla trasparenza ai data breach, ai poteri ispettivi dell’Autorità. 

Sono così complessivamente 31 i webinar accessibili sulla piattaforma, insieme ad altri tool come il manuale per gli RPD (in italiano e inglese), test di autovalutazione e i materiali relativi ai seminari T4Data tenuti da dirigenti e funzionari del Garante in varie città.

L’accesso alla piattaforma, conformemente ai requisiti del progetto T4Data, è riservato esclusivamente agli RPD dei soggetti pubblici i cui nominativi sono stati comunicati attraverso la procedura attivata sul sito web istituzionale del Garante. Nei prossimi mesi la piattaforma sarà arricchita con altri materiali di informazione e approfondimento.

fonte: Garante Privacy

Call Now Button