Applicazione GDPR

• GPDP, Docweb 9501766, 1.10.2020 (2)

  Massima (2) – L’invio di messaggi di propaganda elettorale da parte di un medico (o altro professionista) verso pazienti (o clienti) legati al medesimo da pregressi rapporti di amicizia o in relazione ai quali un personale e strutturato vincolo di amicizia si è sovrapposto, sostituendolo nella sua natura, al rapporto professionale, deve considerarsi quale «attività a carattere esclusivamente personale o domestico»ex art. 2, par. 2, lett. c), GDPR e, come tale, esclusa dall’ambito di applicazione del GDPR.

• Trattamento di dati raccolti nell’esercizio di attività professionali e di tutela della salute per fini di propaganda elettorale

  GPDP, Docweb n. 9501766 del 1° ottobre 2020 | Massime e Commento di Daniele Sborlini

• GPDP, Docweb 9555987, 25.2.2021 (2)

  Massima (2) – Il trattamento dei dati personali operato dal Ministero della salute in relazione al Sistema di allerta Covid-19 (App “Immuni”) – che ha la propria base giuridica in specifiche previsioni normative (tra cui l’art. 6, d.l. n. 28/2020, conv. con mod. dalla l. 27/2020) per il perseguimento di un interesse pubblico rilevante , ai sensi degli artt. 6, par. 1, lett. e), e 9, par. 2, lett. i), GDPR ed è caratterizzato dall’adesione volontaria dell’utente che scarica l’App sul proprio smartphone previa adeguata informativa – è autorizzato dal Garante per la protezione dei dati personali.

• GPDP, Docweb 9555987, 25.2.2021 (1)

  Massima (1) – Il trattamento di dati personali effettuato da parte del Ministero della salute nell’ambito del Sistema di allerta Covid-19 mediante l’App “Immuni” presenta una valutazione d’impatto, modificata secondo le indicazioni del Garante, contenente la previsione di misure adeguate a garantire il rispetto dei diritti e delle libertà degli interessati, che attenuano i rischi che potrebbero derivare dal trattamento, e un nuovo meccanismo per consentire in autonomia, a un soggetto risultato positivo, di caricare le TEK (Temporary Exposure Key) nel backend di Immuni e dunque di interagire direttamente con il sistema di allerta Covid-19 per comunicare l’esito positivo del referto, consentendo una maggior efficienza complessiva del sistema medesimo.

• Autorizzazione al trattamento dei dati personali effettuato attraverso l’App Immuni (sistema di allerta Covid-19) da parte del Ministero della Salute

  GPDP, Docweb n. 9555987 del 25 febbraio 2021 | Massime e Commento di Elena Guerri

• Sviluppo di metodologie predittive e trattamento di dati da parte di Regioni e Province autonome nell’ambito dell’attività di collaborazione istituzionale con il Ministero della Salute

  GPDP, Docweb nn. 9752177, 9752221, 9752260, 9752410, 9752299, 9752433, 9752490 e 9752524 del 24 febbraio 2022 | Massime e Commento di Cristina Moser

• GPDP, Docweb 9544505, 27.1.2021 (2)

  Massima (2) – Nell’ambito della gestione dei dati personali dei pazienti, con particolare attenzione a quelli particolari, la cui indebita comunicazione o diffusione sarebbe in grado di incidere significativamente sui diritti e le libertà degli interessati, l’Azienda sanitaria è tenuta a mettere in atto misure tecniche ed organizzative adeguate a garantire un livello di sicurezza adeguato al rischio. In questo senso, la mera specificazione, nel documento di attribuzione del ruolo di incaricato del trattamento, prima, e autorizzato del trattamento, poi, conferito all’infermiera di una struttura sanitaria, si è da ritenersi insufficiente a garantire l’effettività dei principi inerenti al trattamento dei dati personali, in particolare di correttezza e trasparenza, se non corroborata da ulteriori adeguate misure tecniche e/o organizzative – richieste dall’art. 5, par. 1, lett. f) e dall’art. 32 GDPR – che tengano nella dovuta considerazione il particolare contesto ospedaliero in cui siffatti trattamenti di dati personali, anche estremamente delicati, hanno luogo (la circostanza che un’infermiera di un reparto di ginecologia si trovi a doversi destreggiare contemporaneamente tra due o più pazienti non rappresenta infatti un evento imprevedibile, tale da giustificare la comunicazione dei dati dell’interessata, relativi all’interruzione volontaria della gravidanza, al di lei marito, in presenza di un diniego espresso dalla paziente).

• GPDP, Docweb 9544504, 27.1.2021 (1)

  Massima (1) – La disciplina in materia di protezione dei dati personali (considerando n. 35 e art. 9 GDPR, nonché art. 83 d.lgs. 196/2003, in combinato disposto con l’art. 22, co. 11, d.lgs. 101/ 2018) prevede, in ambito sanitario, che le informazioni sullo stato di salute possano essere riferite solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su specifica indicazione dell’interessato stesso, previa delega scritta di quest’ultimo.

• GPDP, Docweb 9751362, 10.2.2022 (4)

  Massima (4) – Il trattamento posto in essere da un Internt Service Provider, consistente nella raccolta di immagini dal web (c.d. web scraping) e nella loro elaborazione con strumenti automatizzati al fine di creare rappresentazioni vettoriali di volti e, successivamente, sottoporli ad hash per indicizzare i dati, operazione necessaria per stabilire una eventuale correlazione con le immagini oggetto di comparazione caricate dagli utenti, è attività che non appare sovrapponibile a quella posta in essere da un qualsiasi motore di ricerca, tenuto conto del fatto che il titolare compie una rielaborazione tecnica delle immagini raccolte, tanto da renderle “dati biometrici”, alle quali sono peraltro associate informazioni certamente idonee ad identificare la persona ritratta, a cui viene correlato un archivio di risorse che si snoda attraverso il tempo. La valutazione di tale circostanza, unitamente alla finalità comparativa sopra evidenziata, è idonea ad integrare, come richiesto nel Considerando 24, un’attività assimilabile al controllo del comportamento dell’interessato, ossia al monitoraggio dell’interessato, in quanto posta in essere tramite il tracciamento in Internet e la successiva profilazione. Ove tale attività sia posta in essere da un provider stabilito al di fuori dell’UE, è ravvisabile l’ambito territoriale di applicazione del GDPR ai sensi dell’art. 3, par. 2, lett. b).

• GPDP, Docweb 9751362, 10.2.2022 (3)

  Massima (3) – La creazione di un archivio di dati personali che riguarda un interessato presente nell’Unione che si compone di informazioni articolate nel tempo o di riferimenti a momenti temporali diversi, arricchito con tutte le informazioni associabili alla persona stessa ed i cui dati vengono analizzati comparativamente, integra il requisito del monitoraggio del comportamento dell’interessato.