Via libera del Garante Privacy alla Piattaforma Nazionale di Telemedicina

/0 Commenti/in /da

Il Garante della Privacy ha dato il via libera allo schema di decreto del Ministero della Salute che regolamenta il trattamento dei dati personali nella Piattaforma Nazionale di Telemedicina (PNT), inserita nel Piano Nazionale di Ripresa e Resilienza (PNRR).

L’approvazione è giunta dopo l’introduzione di garanzie rafforzate, richieste dall’Autorità, per tutelare i dati trattati.

Lo schema di decreto, rispetto alla versione iniziale, include ora l’obbligo di una valutazione d’impatto preventiva. Questo passaggio è stato ritenuto essenziale considerando la natura e le finalità del trattamento, nonché il numero elevato di persone coinvolte. Inoltre, sono stati definiti in maniera più dettagliata i tipi di dati gestiti, le operazioni eseguibili e le misure per garantire la sicurezza e la riservatezza delle informazioni. In particolare, la valutazione d’impatto dovrà essere aggiornata periodicamente e includere una mappatura completa dei rischi connessi al trattamento dei dati personali.

Integrazione con l’Ecosistema Dati Sanitari

La normativa stabilisce le modalità di utilizzo della PNT sia per scopi clinici sia per esigenze di governance sanitaria. Sono previste disposizioni specifiche per regolamentare l’interazione con l’Ecosistema Dati Sanitari (EDS) e vengono chiariti i ruoli e le responsabilità dei soggetti coinvolti nel trattamento dei dati. L’integrazione con l’EDS permetterà un flusso di informazioni strutturato e sicuro, migliorando la gestione e l’analisi dei dati sanitari a livello nazionale.

Misure avanzate di sicurezza informatica

Tra le misure di sicurezza rafforzate, il decreto impone meccanismi avanzati di protezione, come la cifratura dei dati con algoritmi robusti, la prevenzione delle intrusioni informatiche (Intrusion Prevention System – IPS), il monitoraggio continuo degli eventi di sicurezza e un sistema di tracciamento delle operazioni effettuate. Inoltre, sono previste azioni per prevenire il furto di identità digitale, elemento cruciale per la protezione delle informazioni sanitarie sensibili. Il decreto introduce anche un sistema di autenticazione a più fattori per garantire un accesso sicuro ai dati e un protocollo di gestione delle emergenze informatiche per rispondere tempestivamente a eventuali violazioni della sicurezza.

Aggiornamento delle linee guida sulla telemedicina

Il Garante ha inoltre sottolineato la necessità di aggiornare le “Linee guida per i servizi di telemedicina“, approvate nel 2022, affinando le disposizioni sulla protezione dei dati alla luce del nuovo quadro normativo del Fascicolo Sanitario Elettronico 2.0 e delle normative europee di riferimento. L’aggiornamento dovrà tenere conto delle best practices internazionali in materia di sicurezza e interoperabilità dei sistemi sanitari digitali.

L’iter di approvazione e il contenuto del decreto

L’iter di approvazione ha seguito un percorso articolato. Il Ministero della Salute ha trasmesso il testo per il parere del Garante il 10 dicembre 2024, successivamente integrandolo con una valutazione d’impatto sui trattamenti dei dati in seguito alle osservazioni dell’Autorità. Il decreto, composto da 19 articoli, disciplina dettagliatamente il funzionamento della PNT e delle sue infrastrutture, i servizi offerti, le modalità di accesso per pazienti e professionisti sanitari, nonché gli obblighi di trasparenza e conservazione dei dati.
Particolare attenzione alla sicurezza informatica, con specifiche disposizioni sulla gestione dei rischi e sugli strumenti di protezione. Gli allegati tecnici, parte integrante del decreto, delineano gli aspetti operativi della piattaforma, tra cui l’architettura del sistema e i flussi di dati tra la PNT, il Fascicolo Sanitario Elettronico e l’Ecosistema Dati Sanitari. Inoltre, il decreto prevede meccanismi di audit periodici per verificare il rispetto delle normative sulla protezione dei dati e la conformità agli standard di sicurezza europei.

Un passo avanti per la digitalizzazione della sanità

Con questa approvazione, il Ministero della Salute compie un passo significativo verso la digitalizzazione della sanità, garantendo al contempo un elevato livello di protezione delle informazioni personali. L’attuazione della PNT si inserisce in un quadro normativo più ampio volto a migliorare l’efficienza e la sicurezza dei servizi sanitari digitali in Italia. L’obiettivo finale è rendere i servizi di telemedicina accessibili in modo uniforme su tutto il territorio nazionale, riducendo le disuguaglianze nell’accesso alle cure e ottimizzando la gestione delle risorse sanitarie.

Non viola la privacy il controllo con investigatore privato sull’uso dei permessi Legge 104

/0 Commenti/in /da

La Corte di Cassazione ha stabilito che il datore di lavoro può ricorrere a un investigatore privato per verificare l’effettivo utilizzo dei permessi concessi ai sensi della Legge 104/1992, senza violare la privacy del dipendente.

La decisione arriva in seguito a un caso di licenziamento per giusta causa, scaturito dalle indagini commissionate da un’azienda per accertare se un lavoratore sfruttasse in modo improprio i permessi retribuiti destinati all’assistenza di un familiare disabile.

 

Il caso

 

Un dipendente di un’azienda, titolare di permessi ai sensi della Legge 104 per assistere la madre, è stato licenziato dopo che un’agenzia investigativa, incaricata dal datore di lavoro, aveva documentato un uso scorretto delle ore di permesso. Secondo le prove raccolte, il lavoratore, invece di prestare assistenza, utilizzava sistematicamente parte del tempo per svolgere attività personali, come uscite in bicicletta.

La Corte d’Appello di Brescia aveva già confermato la legittimità del licenziamento, evidenziando la reiterazione della condotta e il suo carattere sistematico. La sentenza è stata poi impugnata in Cassazione dal lavoratore, il quale ha contestato la violazione della propria riservatezza e la modalità con cui erano state raccolte le prove a suo carico.

La decisione della Cassazione

Con una recente ordinanza, la Suprema Corte ha respinto il ricorso del lavoratore, ritenendo infondati i motivi esposti. I giudici hanno chiarito che il controllo da parte di un’agenzia investigativa è legittimo, a patto che si limiti a verificare il corretto utilizzo dei permessi e non invada la sfera privata del lavoratore al di fuori dell’orario di lavoro.

Secondo la Cassazione, l’azienda ha agito nel rispetto della normativa vigente, raccogliendo prove lecite che dimostravano un comportamento scorretto da parte del dipendente. La decisione si inserisce in un quadro giurisprudenziale consolidato, che consente l’uso di investigatori privati per accertare eventuali abusi nei confronti di strumenti di tutela come i permessi retribuiti.

Implicazioni per i lavoratori e le aziende

Questa pronuncia conferma un orientamento già espresso in precedenza dalla giurisprudenza: il datore di lavoro può ricorrere a investigatori privati per verificare il rispetto delle norme da parte dei dipendenti, purché le indagini non sconfinino in un controllo invasivo della vita privata.

Per i lavoratori, la sentenza rappresenta un monito sull’uso corretto dei permessi previsti dalla Legge 104. Qualsiasi utilizzo improprio può costituire un motivo valido per il licenziamento, convalidato anche nei successivi gradi di giudizio.

Le aziende, dal canto loro, devono prestare attenzione a rispettare i limiti imposti dalla legge sulla protezione dei dati e sulla privacy, evitando controlli indiscriminati o eccessivamente invasivi.

Il diritto alla privacy non giustifica l’illecito

La decisione della Cassazione ribadisce il principio per cui il diritto alla privacy del lavoratore non può essere invocato per giustificare un comportamento illecito. L’abuso dei permessi retribuiti per finalità personali può legittimare il licenziamento, se supportato da prove raccolte in modo lecito. Con questa pronuncia, la giurisprudenza si conferma attenta a bilanciare le esigenze di tutela dei lavoratori con il diritto dell’azienda a proteggere la propria organizzazione da condotte scorrette.

Sanzioni privacy ridotte per gli enti non profit: il principio applicato dal Garante

/0 Commenti/in /da

La decisione si basa su un’interpretazione dell’articolo 83 del Regolamento generale sulla protezione dei dati (GDPR), tenendo conto della natura, delle finalità e delle condizioni economiche di queste realtà.

Un quadro normativo orientato alla proporzionalità

Secondo l’articolo 83 del GDPR, le sanzioni amministrative devono essere determinate in base ai principi di effettività, proporzionalità e dissuasività. In questo caso specifico, il Garante ha riconosciuto che l’ente destinatario del provvedimento operava con risorse finanziarie limitate e finalizzate esclusivamente a scopi formativi, divulgativi e informativi. Di conseguenza, ha ritenuto che le violazioni contestate derivassero da una condotta colposa piuttosto che dolosa, giustificando così una riduzione della sanzione.

Il principio di proporzionalità, sancito dall’art. 83, paragrafo 1, ha dunque avuto un peso determinante nella valutazione del caso. L’Autorità ha considerato non solo l’entità della violazione, ma anche la capacità economica dell’associazione e la sua situazione finanziaria compromessa da una grave perdita di esercizio. In questo modo, è stato riconosciuto che un’applicazione rigida delle sanzioni avrebbe potuto compromettere l’esistenza stessa dell’organizzazione, con il rischio di ostacolare le attività di interesse generale che essa svolge.

Privacy e terzo settore: un equilibrio necessario

Le associazioni senza scopo di lucro gestiscono spesso dati sensibili, in particolare quando operano in ambiti come l’assistenza sociale, la tutela dei diritti o la promozione culturale. Per questo motivo, devono attenersi scrupolosamente alle disposizioni del GDPR, che impone standard rigorosi per la raccolta, l’archiviazione e il trattamento delle informazioni personali. Tuttavia, la complessità della normativa e le risorse limitate di molte realtà del terzo settore rendono difficile la piena conformità alle prescrizioni.

Proprio per queste ragioni, il Garante ha adottato un approccio più sfumato rispetto a quello riservato alle imprese commerciali. Pur confermando la necessità di tutelare i diritti dei cittadini in materia di dati personali, ha ritenuto opportuno modulare le sanzioni in base alle specificità degli enti coinvolti. Questa impostazione evita che le organizzazioni non profit vengano penalizzate in misura sproporzionata rispetto alla loro capacità economica e operativa.

Implicazioni della decisione del Garante

La scelta di attenuare le sanzioni per gli enti del terzo settore potrebbe costituire un precedente significativo per future valutazioni in materia di privacy. Da un lato, si conferma l’importanza di un’applicazione flessibile del GDPR, che tenga conto delle diverse realtà organizzative; dall’altro, si ribadisce la necessità per le associazioni di adottare misure adeguate per garantire la protezione dei dati personali.

Questa decisione solleva inoltre un tema di più ampia portata: come bilanciare l’esigenza di trasparenza e sicurezza con la sostenibilità delle attività degli enti non profit? Se da una parte il rispetto delle normative in materia di privacy è imprescindibile, dall’altra occorre evitare che adempimenti troppo gravosi possano minare la sopravvivenza di realtà che svolgono un ruolo essenziale nel tessuto sociale.

Possibili sviluppi e raccomandazioni per gli enti non profit per evitare sanzioni in materia di privacy

Per evitare problemi con la normativa sulla protezione dei dati, le associazioni devono adottare un approccio proattivo alla compliance. Tra le azioni consigliate vi sono:

  • Formazione del personale: Sensibilizzare i volontari e i dipendenti sulle regole del GDPR per ridurre il rischio di errori e violazioni.
  • Nomina di un responsabile della protezione dati (DPO): Anche se non obbligatorio per tutti gli enti, un DPO può fornire un supporto essenziale nell’adeguamento alle normative.
  • Adozione di misure di sicurezza adeguate: Utilizzo di sistemi crittografici, aggiornamento delle policy di accesso ai dati e verifica periodica delle procedure interne.
  • Redazione di informative chiare e accessibili: Garantire che i soggetti interessati siano consapevoli delle modalità di trattamento dei loro dati e dei loro diritti.
  • Valutazioni periodiche della conformità: Effettuare controlli regolari per individuare eventuali criticità e intervenire tempestivamente.

Conclusioni

La decisione del Garante rappresenta un segnale importante per il mondo del non profit, sottolineando la necessità di un’applicazione della normativa privacy che tenga conto della natura e delle risorse degli enti coinvolti. Tuttavia, questa maggiore flessibilità non deve essere interpretata come un’esenzione dagli obblighi previsti dal GDPR: le associazioni devono comunque adottare tutte le misure necessarie per garantire la protezione dei dati personali, dimostrando un impegno concreto nella tutela della privacy.

In un contesto normativo in continua evoluzione, il tema della protezione dei dati nel terzo settore rimane centrale. Sarà quindi fondamentale monitorare gli sviluppi futuri e promuovere strategie che consentano agli enti non profit di operare in conformità con le disposizioni vigenti, senza che ciò comprometta la loro missione sociale.

Il testo del provvedimento

Qui il documento completo.