Poste Italiane sanzionata dall’Antitrust per accesso forzato ai dati degli utenti

/0 Commenti/in /da

L’Antitrust, Autorità Garante della Concorrenza e del Mercato (AGCM) ha inflitto a Poste Italiane una sanzione da 4 milioni di euro per aver adottato una pratica considerata scorretta e aggressiva nei confronti dei consumatori: li ha obbligati a consentire in modo forzato l’accesso ai propri dati personali.

Al centro della vicenda, l’obbligo imposto agli utenti delle app PostePay e BancoPosta di concedere l’accesso ai propri dati personali contenuti negli smartphone, pena il blocco dell’utilizzo delle applicazioni stesse.

Il caso: un “consenso” obbligato

Tutto ha avuto inizio nell’aprile 2024, quando molti clienti di Poste Italiane si sono trovati davanti a un messaggio obbligatorio all’apertura delle app. Il testo invitava a “proteggere il dispositivo” autorizzando l’accesso ai dati dello smartphone per prevenire frodi informatiche e garantire una maggiore sicurezza. Tuttavia, la mancata concessione del consenso comportava un limite di soli tre accessi (poi portati a cinque) prima del blocco definitivo dell’applicazione.

Di fatto, chi non accettava le condizioni non poteva più utilizzare i servizi digitali di Poste Italiane, come la gestione del conto o dei pagamenti tramite app. Una misura che l’Antitrust ha giudicato “contraria ai principi di correttezza professionale” e lesiva della libertà di scelta dei consumatori.

Un controllo eccessivo sui dispositivi

Il nodo centrale riguarda la portata dell’autorizzazione richiesta. Accettando le condizioni, gli utenti permettevano alle app di monitorare l’utilizzo di altre applicazioni installate sul telefono, conoscere la frequenza con cui venivano aperte, identificare l’operatore telefonico e persino la lingua impostata sul dispositivo. Si trattava, quindi, di un accesso esteso e non limitato ai soli dati necessari a garantire la sicurezza dei pagamenti.

Molti utenti hanno segnalato la vicenda all’AGCM, denunciando la scarsa trasparenza delle informazioni fornite da Poste Italiane. Secondo le testimonianze raccolte, le spiegazioni disponibili sul sito dell’azienda erano vaghe e non specificavano quali dati venissero effettivamente trattati. Un consumatore, ad esempio, ha sottolineato che l’autorizzazione avrebbe consentito a Poste di visualizzare anche l’attività su app concorrenti, come quelle di altri istituti bancari, configurando un potenziale conflitto di interessi.

L’indagine dell’Antitrust

Le segnalazioni hanno portato l’AGCM ad aprire un procedimento formale nella primavera del 2024. L’istruttoria ha rivelato che la pratica aveva coinvolto milioni di utenti Android, con un numero elevato di applicazioni effettivamente bloccate per mancanza di consenso. Secondo i dati raccolti, nel solo periodo tra maggio e giugno 2024, centinaia di migliaia di app risultavano inutilizzabili, mentre oltre cinque milioni di consumatori avevano accettato le condizioni imposte pur di continuare a usufruire dei servizi digitali.

Nel corso dell’indagine, Poste Italiane ha difeso la propria posizione sostenendo che la raccolta dei dati era necessaria per rafforzare i sistemi antifrode, come previsto dalle normative in materia di sicurezza dei pagamenti. Tuttavia, l’Autorità ha ritenuto che la misura fosse sproporzionata e non sufficientemente giustificata, soprattutto in considerazione della quantità di informazioni personali cui l’app avrebbe avuto accesso.

Il confronto con le Autorità di vigilanza

Durante il procedimento, l’AGCM ha coinvolto anche la Banca d’Italia, il Garante per la protezione dei dati personali (GPDP) e l’Autorità per le Garanzie nelle Comunicazioni (AGCOM), richiedendo pareri tecnici e valutazioni sull’impatto della condotta di Poste Italiane. I pareri, giunti tra aprile e maggio 2025, hanno confermato la necessità di tutelare maggiormente i diritti dei consumatori e di garantire che le misure di sicurezza informatica non si traducano in forme di controllo invasive.

Nel frattempo, Poste Italiane aveva tentato di proporre degli “impegni” correttivi per modificare la propria condotta, ma l’Antitrust ha deciso di non accoglierli, ritenendo prioritario accertare l’infrazione in quanto di particolare rilievo per la tutela della privacy e della libertà contrattuale degli utenti.

La rimozione del blocco e la decisione finale

Solo nel febbraio 2025, quasi un anno dopo l’inizio della vicenda, l’azienda ha comunicato di aver eliminato il blocco automatico delle app per coloro che non concedevano l’autorizzazione richiesta. La misura è stata effettivamente rimossa a partire dal 18 febbraio 2025, come confermato all’Autorità. Tuttavia, la decisione è arrivata troppo tardi per evitare la sanzione.

Con il provvedimento pubblicato nel Bollettino n. 22 del 9 giugno 2025, l’Antitrust ha definito la pratica “aggressiva e contraria ai doveri di diligenza professionale”, sottolineando che l’azienda aveva condizionato l’uso dei propri servizi digitali a un consenso non libero, ma imposto. Secondo l’Autorità, la condotta di Poste Italiane ha inciso negativamente sui diritti fondamentali dei consumatori, in particolare sulla protezione dei dati personali e sulla possibilità di scegliere consapevolmente se e come condividerli.

Le implicazioni per i consumatori e le aziende

La vicenda solleva interrogativi più ampi sul delicato equilibrio tra sicurezza informatica e tutela della privacy. Se da un lato le aziende devono proteggere gli utenti da frodi e attacchi digitali, dall’altro è necessario che tali misure non si traducano in forme di sorveglianza o di raccolta eccessiva di informazioni. L’AGCM ha ribadito che qualsiasi trattamento dei dati personali deve avvenire in modo trasparente, proporzionato e sempre su base volontaria.

Il caso Poste Italiane rappresenta un precedente significativo: dimostra come anche grandi operatori del settore finanziario e postale siano tenuti a rispettare rigorosamente le regole sulla concorrenza leale e sul consenso informato. Per i cittadini, è un richiamo a prestare attenzione alle autorizzazioni concesse alle app, spesso accettate senza la piena consapevolezza delle implicazioni che comportano.

 

Lentepubblica.it: Il Quotidiano della Pubblica Amministrazione e dei concorsi pubblici

/0 Commenti/in /da

lentepubblica.it è la testata giornalistica di riferimento per chi segue da vicino il mondo della Pubblica Amministrazione, dell’economia pubblica e dei concorsi pubblici.
Ogni giorno offre notizie aggiornate, guide pratiche e analisi autorevoli su PA digitale, fisco, lavoro, scuola e servizi ai cittadini.

 

Un punto di riferimento per l’informazione pubblica e istituzionale

Da anni lentepubblica.it rappresenta una voce autorevole e indipendente nell’informazione dedicata alla Pubblica Amministrazione.
La redazione, composta da giornalisti ed esperti del settore, approfondisce quotidianamente i temi più rilevanti per enti locali, professionisti, amministratori e cittadini interessati alle riforme e alle politiche pubbliche.

Il portale tratta in modo puntuale e documentato:

  • Pubblica Amministrazione digitale e innovazione tecnologica
  • Normativa fiscale, tributi locali e finanza pubblica
  • Scuola, lavoro e welfare
  • Energia, ambiente e sostenibilità
  • Digitalizzazione dei servizi e transizione amministrativa

Ogni articolo è redatto con l’obiettivo di garantire chiarezza, attendibilità e valore informativo, traducendo il linguaggio tecnico della normativa in contenuti comprensibili e utili per il lettore.

 

Analisi normativa e approfondimenti dalle Autorità

Una delle aree più qualificate di lentepubblica.it è quella dedicata all’analisi normativa e all’interpretazione delle disposizioni emanate da Governo, Parlamento, Regioni e Autorità indipendenti.
La testata segue con rigore e tempestività l’evoluzione del quadro legislativo e regolamentare, pubblicando:

  • news sulle nuove normative, decreti e linee guida;
  • aggiornamenti provenienti da Autorità di vigilanza e garanzia come ANAC, ARERA, Garante Privacy, AGCOM, Banca d’Italia e altre istituzioni;
  • commenti e interpretazioni di esperti, con l’obiettivo di chiarire l’impatto concreto delle norme su enti, professionisti e cittadini.

L’approccio redazionale privilegia la lettura critica e l’analisi applicativa dei provvedimenti, fornendo chiavi di interpretazione utili per comprendere le implicazioni operative di ogni intervento normativo.
Grazie alla collaborazione di consulenti, docenti universitari e operatori della PA, gli approfondimenti di lentepubblica.it offrono al lettore un punto di vista tecnico ma sempre accessibile.

 

Concorsi pubblici: aggiornamenti, bandi e guide pratiche

Uno dei pilastri di lentepubblica.it è la sezione dedicata ai concorsi pubblici, uno spazio costantemente aggiornato con notizie su bandi aperti, graduatorie, requisiti di accesso e scadenze.
La testata fornisce approfondimenti pratici su come prepararsi ai concorsi, spiegazioni sulle prove selettive e strumenti di orientamento per chi desidera intraprendere una carriera nel settore pubblico.

Dalle amministrazioni centrali agli enti locali, fino alle aziende partecipate, lentepubblica.it monitora tutte le opportunità di lavoro pubblico, diventando un punto di riferimento per migliaia di lettori alla ricerca di informazioni chiare, aggiornate e verificate.
Questo approccio consente di valorizzare la meritocrazia e favorire la trasparenza nei processi di selezione, in linea con la missione di servizio pubblico che da sempre contraddistingue la testata.

 

ParteciPAttivi: la community di chi vuole contribuire

Oltre all’attività giornalistica, lentepubblica.it promuove la partecipazione attiva attraverso il progetto ParteciPAttivi, un’iniziativa che invita professionisti, funzionari pubblici, studiosi e cittadini a proporre articoli, analisi o opinioni sui temi della Pubblica Amministrazione.

Grazie a questa formula partecipativa, la testata si trasforma in una piattaforma aperta di confronto e collaborazione, dove l’informazione diventa anche uno strumento di cittadinanza attiva.
Chi desidera partecipare può inviare contributi e riflessioni, contribuendo a rendere lentepubblica.it uno spazio realmente condiviso e dinamico nel panorama dell’informazione pubblica.

 

Qualità, autorevolezza e visione divulgativa

La missione di lentepubblica.it è rendere l’informazione pubblica comprensibile, utile e accessibile a tutti.
Attraverso un linguaggio chiaro e una costante attenzione alla qualità delle fonti, la testata si impegna a superare il burocratese e a restituire ai cittadini una comprensione diretta delle decisioni e delle politiche che li riguardano.

La redazione mantiene un approccio editoriale basato su trasparenza, competenza e spirito divulgativo, valori che hanno reso lentepubblica.it un punto fermo nel panorama dell’informazione online dedicata alla pubblica amministrazione.

 

Un portale in continua crescita

Grazie a un costante lavoro di approfondimento, lentepubblica.it ha conquistato negli anni una reputazione solida e un pubblico sempre più ampio e fidelizzato.
Con migliaia di articoli, rubriche tematiche e collaborazioni redazionali, lentepubblica.it continua a crescere come punto d’incontro tra informazione, conoscenza e partecipazione al servizio della collettività.

 

 

Presenze rilevate con impronte digitali: multa del Garante ad un istituto scolastico

/0 Commenti/in /da

L’utilizzo delle impronte digitali per controllare le presenze e l’orario di ingresso e uscita del personale viola la loro privacy: lo sostiene il Garante della Privacy che, in un recente provvedimento, ha comminato una multa ad una scuola.

La vicenda evidenzia ancora una volta quanto sia delicato il trattamento dei dati personali sul luogo di lavoro e quanto sia fondamentale che le amministrazioni pubbliche si attengano a criteri rigorosi di legittimità, necessità e proporzionalità.

La tecnologia, anche quando offre soluzioni innovative, deve sempre rispettare i diritti fondamentali delle persone.

Presenze rilevate con impronte digitali: multa del Garante a una scuola

A confermare i limiti stringenti sull’uso dei dati biometrici in ambito lavorativo è stata l’Autorità Garante per la protezione dei dati personali, che ha imposto una sanzione da 4.000 euro a un istituto scolastico superiore di Tropea. Il provvedimento è scaturito da un reclamo presentato contro l’adozione di un sistema di rilevazione presenze basato sulle impronte digitali, utilizzato esclusivamente per il personale amministrativo.

Il caso

Secondo quanto emerso nel corso dell’istruttoria, la scuola aveva introdotto il dispositivo con una doppia finalità: da un lato tenere traccia delle presenze del personale, dall’altro scoraggiare eventuali episodi di danneggiamento agli ambienti scolastici.

Il sistema era stato applicato solo a quei dipendenti che avevano espresso formalmente il proprio consenso, rifiutando le modalità tradizionali di attestazione della presenza, come il registro cartaceo o il badge elettronico.

Il parere dell’Autorità

Ma per il Garante questo approccio non è sufficiente a legittimare l’uso di tecnologie tanto invasive. L’Autorità ha evidenziato che, nel contesto lavorativo, il consenso del dipendente non rappresenta una base giuridica adeguata, in quanto spesso viziato dal rapporto di subordinazione che rende difficile garantire una vera libertà di scelta. Non si tratta quindi solo di una questione di volontarietà, ma di equilibrio tra poteri: il datore di lavoro, pubblico o privato che sia, non può fare affidamento sul consenso come unico presupposto per trattare dati così sensibili.

A rafforzare la posizione dell’Autorità c’è un parere già espresso nel 2019, che escludeva l’ammissibilità di un utilizzo sistematico e indiscriminato di strumenti biometrici per il controllo degli accessi nelle pubbliche amministrazioni.

Secondo il Garante, l’estrema delicatezza dei dati raccolti – legati in modo univoco all’identità fisica di una persona – impone un impiego rigorosamente limitato, giustificato da norme esplicite, vincolato al rispetto del principio di proporzionalità e riservato a specifici casi di interesse pubblico.

I motivi della sanzione

Nel caso dell’istituto di Tropea, però, mancava completamente una cornice normativa chiara che potesse legittimare l’adozione del sistema. Nessuna legge o regolamento prevedeva l’uso di dati biometrici a fini di rilevazione presenze scolastiche. Di conseguenza, l’intero trattamento si è rivelato illecito ai sensi della normativa europea (Regolamento generale sulla protezione dei dati – GDPR) e di quella nazionale.

Pur riconoscendo la disponibilità della scuola a collaborare durante l’indagine e l’assenza di precedenti analoghi, il Garante ha comunque ritenuto necessario applicare una sanzione pecuniaria, sottolineando l’importanza di mantenere alta l’attenzione sull’uso delle tecnologie in contesti delicati come quello scolastico e lavorativo.

Il Garante della Privacy multa la società che gestisce il chatbot “Replika”

/0 Commenti/in /da

Violazioni sulla privacy: il Garante commina una multa salata alla società Replika e apre una nuova inchiesta sui chatbot come viene addestrata l’AI.

Il Garante per la protezione dei dati personali ha inflitto una multa da 5 milioni di euro alla società americana Luka Inc., responsabile dello sviluppo e della gestione di Replika, un chatbot basato sull’intelligenza artificiale generativa. Parallelamente, è stata avviata una nuova istruttoria per approfondire le modalità con cui vengono trattati i dati durante l’intero ciclo di vita del modello di AI sottostante.

Un amico virtuale che solleva interrogativi
Replika è un assistente virtuale che comunica via testo o voce e permette all’utente di creare una figura digitale su misura, da usare come confidente, consulente, partner o guida emotiva. Promosso come strumento per migliorare il benessere psicologico, aiutare nella gestione dell’ansia o sviluppare relazioni affettive simulate, il servizio utilizza un modello linguistico avanzato che si evolve attraverso l’interazione con gli utenti.

Ma dietro l’apparente innocuità dell’app si nascondono una serie di criticità in materia di privacy. Già nel febbraio 2023, il Garante aveva disposto un blocco temporaneo del servizio per l’Italia, rilevando che Luka non aveva fornito basi giuridiche adeguate per il trattamento dei dati personali né una privacy policy conforme agli standard europei.

Criticità nella tutela dei minori
Uno degli aspetti più gravi evidenziati dall’Autorità riguarda la mancanza di sistemi efficaci per impedire l’accesso ai minori. Nonostante Luka affermasse di escludere i soggetti sotto i 18 anni, all’epoca del blocco non esisteva alcun meccanismo concreto per verificarne l’età, né al momento dell’iscrizione né durante l’uso. Secondo gli accertamenti tecnici, le misure implementate successivamente risultano tuttora insufficienti.
Per queste ragioni, oltre alla sanzione economica, il Garante ha ordinato alla società di adeguare definitivamente il trattamento dei dati alle normative europee, imponendo una serie di interventi correttivi.

L’intervento dell’Autorità e le prescrizioni
Il procedimento ha preso avvio d’ufficio, dopo che alcune segnalazioni e articoli di stampa avevano sollevato dubbi sulla gestione del servizio. L’analisi ha confermato che Replika operava in violazione di diversi articoli del Regolamento europeo sulla protezione dei dati, in particolare per quanto riguarda la trasparenza, la sicurezza e la protezione degli utenti più vulnerabili.

Nel giugno 2023, il Garante ha sospeso il blocco del servizio a condizione che Luka adottasse una serie di misure, tra cui:

  • l’adozione di una privacy policy aggiornata e facilmente accessibile per gli utenti italiani;
  • l’introduzione di un sistema per verificare l’età all’ingresso e durante l’utilizzo;
  • la creazione di un meccanismo per bloccare l’accesso in caso di età non conforme;
  • strumenti semplici per consentire agli utenti di esercitare i propri diritti (come la cancellazione o la modifica dei dati);
  • piani per impedire l’interazione dei minori con il servizio e per segnalare contenuti inappropriati.

Queste prescrizioni dovevano essere attuate in tempi precisi: alcune entro luglio 2023, altre entro due settimane dalla riapertura del servizio per il pubblico italiano.

Un nuovo fronte di indagine: l’addestramento dell’AI
Oltre alle problematiche già emerse, l’Autorità ha aperto una nuova indagine autonoma per esaminare le modalità di addestramento dell’intelligenza artificiale alla base di Replika. Il Garante ha richiesto a Luka informazioni dettagliate sul tipo di dati utilizzati, sulle misure di sicurezza adottate durante le fasi di sviluppo, nonché sull’eventuale uso di tecniche per proteggere l’identità degli utenti, come l’anonimizzazione o la pseudonimizzazione.

Particolare attenzione è rivolta alla gestione del cosiddetto Large Language Model (LLM), ovvero il modello linguistico di grandi dimensioni che consente al chatbot di generare risposte personalizzate, simulando interazioni realistiche. Si tratta di un sistema che apprende dai dati forniti dagli utenti, sollevando interrogativi sulla sua sicurezza e sul rispetto delle garanzie previste per la protezione delle informazioni personali.

Un precedente rilevante nel panorama europeo
Il caso Replika rappresenta uno dei primi interventi significativi in Europa su un’applicazione commerciale di intelligenza artificiale generativa rivolta al grande pubblico. La vicenda mostra come i modelli di AI debbano essere sottoposti a rigorose verifiche non solo per la qualità delle risposte che generano, ma anche per l’impatto potenziale sulla privacy, soprattutto quando coinvolgono minori o utenti vulnerabili.

La decisione del Garante italiano conferma la linea rigorosa adottata in ambito europeo nel bilanciare l’innovazione tecnologica con la tutela dei diritti fondamentali, in particolare nel delicato campo dell’intelligenza artificiale. Le prossime mosse della società Luka, e gli esiti dell’istruttoria appena avviata, saranno determinanti per capire se Replika potrà continuare a operare in Italia nel rispetto delle regole.

 

Il rapporto complicato tra registro scolastico elettronico e privacy

/0 Commenti/in /da

Nel contesto della digitalizzazione della pubblica amministrazione, il registro elettronico rappresenta uno degli strumenti cardine per l’innovazione del sistema scolastico italiano: tuttavia emergono ancora criticità rilevanti sotto il punto di vista della privacy.

Tuttavia, nonostante le intenzioni dichiarate, la recente nota operativa diramata dal Ministero dell’Istruzione e del Merito, che intende fornire linee guida per la gestione del registro elettronico da parte delle istituzioni scolastiche statali, pone in evidenza una serie di criticità tutt’altro che trascurabili. Il documento ministeriale, che si propone di armonizzare le modalità di utilizzo del registro digitale nel rispetto della normativa vigente e delle buone prassi amministrative, si muove in un equilibrio complesso tra esigenze tecniche, vincoli normativi e tutela dei diritti fondamentali, primo fra tutti quello alla privacy.

Una piattaforma al centro della vita scolastica

Il registro elettronico, com’è noto, non è un semplice strumento di annotazione: racchiude informazioni essenziali relative alla carriera scolastica degli studenti, alla gestione delle attività didattiche e alle comunicazioni tra scuola e famiglia. Si tratta quindi di una vera e propria infrastruttura digitale, centrale nel funzionamento quotidiano delle scuole e nella relazione tra docenti, studenti e famiglie. Proprio per questo, il Ministero ribadisce la necessità di adottare soluzioni informatiche che siano sicure, accessibili, interoperabili con altri sistemi e conformi alla normativa sulla protezione dei dati personali.

Accesso digitale: un obbligo che rischia di diventare barriera

Uno dei pilastri su cui si fonda la gestione del registro è l’utilizzo delle identità digitali — SPID, CIE ed eIDAS — per garantire l’accesso sicuro da parte degli utenti. L’adozione progressiva di queste credenziali viene indicata come prioritaria per assicurare la protezione contro accessi non autorizzati. Tuttavia, se da un lato la scelta è coerente con le disposizioni in materia di sicurezza informatica, dall’altro rischia di accentuare il divario digitale, in particolare per le famiglie meno digitalizzate o per gli studenti minorenni che incontrano difficoltà nell’ottenere le credenziali d’accesso. L’introduzione dello SPID per minori tenta di colmare questa lacuna, ma non sempre la procedura risulta semplice o immediata.

Interoperabilità e accessibilità: le sfide dell’integrazione

Altro nodo rilevante è quello della piena interoperabilità del registro con le piattaforme istituzionali del Ministero, come il SIDI, l’Anagrafe Nazionale degli Studenti, la Piattaforma Unica o il servizio Pago in Rete. Questa connessione tra sistemi dovrebbe assicurare una continuità informativa e semplificare i processi amministrativi. Tuttavia, sul campo si osserva una realtà spesso frammentata, dove i diversi registri adottati dalle scuole si interfacciano con difficoltà con le applicazioni ministeriali. Il rischio è quello di una digitalizzazione incompleta, che invece di semplificare introduce nuovi oneri tecnici e amministrativi per le segreterie scolastiche.

Un aspetto che merita particolare attenzione è l’accessibilità. Il registro deve essere utilizzabile anche da utenti con disabilità, conformemente alla normativa italiana ed europea. Il rispetto di questi standard, però, non sempre è garantito dai fornitori di software, e la verifica dell’effettiva accessibilità delle piattaforme digitali rimane spesso affidata alla buona volontà delle singole istituzioni scolastiche.

Protezione dei dati: un onere pesante per le scuole

Il cuore critico della questione riguarda però la gestione dei dati personali. La nota del Ministero, infatti, sottolinea come ogni scuola sia a tutti gli effetti Titolare del trattamento dei dati contenuti nel registro, e dunque responsabile della loro sicurezza e gestione secondo i principi del Regolamento generale europeo sulla protezione dei dati (GDPR). Questo comporta obblighi stringenti: effettuare valutazioni d’impatto, rilasciare informative dettagliate, nominare soggetti autorizzati e sorvegliare i comportamenti dei fornitori, designati come Responsabili del trattamento.

Un compito tutt’altro che semplice, considerando che le scuole spesso non dispongono di competenze legali e informatiche adeguate. Sebbene esista la figura del Data Protection Officer (DPO), prevista per supportare le istituzioni scolastiche nel rispetto delle norme, il carico burocratico resta elevato. E non sono rari i casi in cui il registro elettronico, invece di essere uno strumento di semplificazione, si trasforma in una fonte di preoccupazioni legate a potenziali violazioni della privacy.

Sicurezza informatica: misure necessarie ma non sempre applicate

Nel documento ministeriale si legge l’invito a garantire un livello di sicurezza adeguato al rischio, adottando misure come piani di continuità operativa (business continuity), strategie di recupero in caso di disastro (disaster recovery), e l’utilizzo di soluzioni cloud conformi alla normativa specifica. Sulla carta, queste indicazioni sembrano appropriate. Tuttavia, la realtà sul territorio scolastico è molto variegata: ci sono scuole dotate di strumenti e competenze avanzate, ma anche istituti che si affidano a fornitori poco strutturati o privi di adeguate certificazioni di sicurezza. Senza un controllo sistematico e strumenti di supporto più concreti da parte del Ministero, queste misure rischiano di restare lettera morta.

La questione della portabilità dei dati

Infine, si affronta il tema della trasferibilità delle informazioni contenute nel registro, un aspetto fondamentale soprattutto in casi di cambio di gestore del servizio o in situazioni di necessità tecnica. Il principio della portabilità dei dati è sancito dal GDPR, ma tradurlo in pratica richiede la predisposizione di formati standardizzati e compatibili. Anche su questo fronte, l’assenza di regole comuni e vincolanti per i fornitori rischia di ostacolare l’esercizio di un diritto riconosciuto, vincolando di fatto le scuole a specifici software, talvolta con costi economici e tecnologici non trascurabili.

Conclusioni: tra autonomia scolastica e responsabilità statale

La nota ministeriale cerca di tracciare un perimetro normativo ed operativo chiaro per la gestione del registro elettronico. Tuttavia, il documento sembra scaricare sulle singole scuole un carico di responsabilità e adempimenti spesso sproporzionato rispetto alle loro effettive capacità. In nome dell’autonomia scolastica, si chiede alle istituzioni di navigare tra regolamenti europei, standard tecnici, misure di sicurezza e diritti digitali, senza fornire risorse o strumenti concreti per affrontare questa complessità.

Serve dunque un ripensamento più profondo dell’approccio alla digitalizzazione scolastica, che parta da una reale consapevolezza delle condizioni in cui operano le scuole italiane. Più che nuove circolari, è necessario un piano strutturale che preveda investimenti, formazione, assistenza tecnica e controllo centralizzato dei fornitori. Solo così il registro elettronico potrà trasformarsi da faticoso obbligo a vero strumento di innovazione e trasparenza al servizio della comunità scolastica.

Via libera del Garante Privacy alla Piattaforma Nazionale di Telemedicina

/0 Commenti/in /da

Il Garante della Privacy ha dato il via libera allo schema di decreto del Ministero della Salute che regolamenta il trattamento dei dati personali nella Piattaforma Nazionale di Telemedicina (PNT), inserita nel Piano Nazionale di Ripresa e Resilienza (PNRR).

L’approvazione è giunta dopo l’introduzione di garanzie rafforzate, richieste dall’Autorità, per tutelare i dati trattati.

Lo schema di decreto, rispetto alla versione iniziale, include ora l’obbligo di una valutazione d’impatto preventiva. Questo passaggio è stato ritenuto essenziale considerando la natura e le finalità del trattamento, nonché il numero elevato di persone coinvolte. Inoltre, sono stati definiti in maniera più dettagliata i tipi di dati gestiti, le operazioni eseguibili e le misure per garantire la sicurezza e la riservatezza delle informazioni. In particolare, la valutazione d’impatto dovrà essere aggiornata periodicamente e includere una mappatura completa dei rischi connessi al trattamento dei dati personali.

Integrazione con l’Ecosistema Dati Sanitari

La normativa stabilisce le modalità di utilizzo della PNT sia per scopi clinici sia per esigenze di governance sanitaria. Sono previste disposizioni specifiche per regolamentare l’interazione con l’Ecosistema Dati Sanitari (EDS) e vengono chiariti i ruoli e le responsabilità dei soggetti coinvolti nel trattamento dei dati. L’integrazione con l’EDS permetterà un flusso di informazioni strutturato e sicuro, migliorando la gestione e l’analisi dei dati sanitari a livello nazionale.

Misure avanzate di sicurezza informatica

Tra le misure di sicurezza rafforzate, il decreto impone meccanismi avanzati di protezione, come la cifratura dei dati con algoritmi robusti, la prevenzione delle intrusioni informatiche (Intrusion Prevention System – IPS), il monitoraggio continuo degli eventi di sicurezza e un sistema di tracciamento delle operazioni effettuate. Inoltre, sono previste azioni per prevenire il furto di identità digitale, elemento cruciale per la protezione delle informazioni sanitarie sensibili. Il decreto introduce anche un sistema di autenticazione a più fattori per garantire un accesso sicuro ai dati e un protocollo di gestione delle emergenze informatiche per rispondere tempestivamente a eventuali violazioni della sicurezza.

Aggiornamento delle linee guida sulla telemedicina

Il Garante ha inoltre sottolineato la necessità di aggiornare le “Linee guida per i servizi di telemedicina“, approvate nel 2022, affinando le disposizioni sulla protezione dei dati alla luce del nuovo quadro normativo del Fascicolo Sanitario Elettronico 2.0 e delle normative europee di riferimento. L’aggiornamento dovrà tenere conto delle best practices internazionali in materia di sicurezza e interoperabilità dei sistemi sanitari digitali.

L’iter di approvazione e il contenuto del decreto

L’iter di approvazione ha seguito un percorso articolato. Il Ministero della Salute ha trasmesso il testo per il parere del Garante il 10 dicembre 2024, successivamente integrandolo con una valutazione d’impatto sui trattamenti dei dati in seguito alle osservazioni dell’Autorità. Il decreto, composto da 19 articoli, disciplina dettagliatamente il funzionamento della PNT e delle sue infrastrutture, i servizi offerti, le modalità di accesso per pazienti e professionisti sanitari, nonché gli obblighi di trasparenza e conservazione dei dati.
Particolare attenzione alla sicurezza informatica, con specifiche disposizioni sulla gestione dei rischi e sugli strumenti di protezione. Gli allegati tecnici, parte integrante del decreto, delineano gli aspetti operativi della piattaforma, tra cui l’architettura del sistema e i flussi di dati tra la PNT, il Fascicolo Sanitario Elettronico e l’Ecosistema Dati Sanitari. Inoltre, il decreto prevede meccanismi di audit periodici per verificare il rispetto delle normative sulla protezione dei dati e la conformità agli standard di sicurezza europei.

Un passo avanti per la digitalizzazione della sanità

Con questa approvazione, il Ministero della Salute compie un passo significativo verso la digitalizzazione della sanità, garantendo al contempo un elevato livello di protezione delle informazioni personali. L’attuazione della PNT si inserisce in un quadro normativo più ampio volto a migliorare l’efficienza e la sicurezza dei servizi sanitari digitali in Italia. L’obiettivo finale è rendere i servizi di telemedicina accessibili in modo uniforme su tutto il territorio nazionale, riducendo le disuguaglianze nell’accesso alle cure e ottimizzando la gestione delle risorse sanitarie.

Non viola la privacy il controllo con investigatore privato sull’uso dei permessi Legge 104

/0 Commenti/in /da

La Corte di Cassazione ha stabilito che il datore di lavoro può ricorrere a un investigatore privato per verificare l’effettivo utilizzo dei permessi concessi ai sensi della Legge 104/1992, senza violare la privacy del dipendente.

La decisione arriva in seguito a un caso di licenziamento per giusta causa, scaturito dalle indagini commissionate da un’azienda per accertare se un lavoratore sfruttasse in modo improprio i permessi retribuiti destinati all’assistenza di un familiare disabile.

 

Il caso

 

Un dipendente di un’azienda, titolare di permessi ai sensi della Legge 104 per assistere la madre, è stato licenziato dopo che un’agenzia investigativa, incaricata dal datore di lavoro, aveva documentato un uso scorretto delle ore di permesso. Secondo le prove raccolte, il lavoratore, invece di prestare assistenza, utilizzava sistematicamente parte del tempo per svolgere attività personali, come uscite in bicicletta.

La Corte d’Appello di Brescia aveva già confermato la legittimità del licenziamento, evidenziando la reiterazione della condotta e il suo carattere sistematico. La sentenza è stata poi impugnata in Cassazione dal lavoratore, il quale ha contestato la violazione della propria riservatezza e la modalità con cui erano state raccolte le prove a suo carico.

La decisione della Cassazione

Con una recente ordinanza, la Suprema Corte ha respinto il ricorso del lavoratore, ritenendo infondati i motivi esposti. I giudici hanno chiarito che il controllo da parte di un’agenzia investigativa è legittimo, a patto che si limiti a verificare il corretto utilizzo dei permessi e non invada la sfera privata del lavoratore al di fuori dell’orario di lavoro.

Secondo la Cassazione, l’azienda ha agito nel rispetto della normativa vigente, raccogliendo prove lecite che dimostravano un comportamento scorretto da parte del dipendente. La decisione si inserisce in un quadro giurisprudenziale consolidato, che consente l’uso di investigatori privati per accertare eventuali abusi nei confronti di strumenti di tutela come i permessi retribuiti.

Implicazioni per i lavoratori e le aziende

Questa pronuncia conferma un orientamento già espresso in precedenza dalla giurisprudenza: il datore di lavoro può ricorrere a investigatori privati per verificare il rispetto delle norme da parte dei dipendenti, purché le indagini non sconfinino in un controllo invasivo della vita privata.

Per i lavoratori, la sentenza rappresenta un monito sull’uso corretto dei permessi previsti dalla Legge 104. Qualsiasi utilizzo improprio può costituire un motivo valido per il licenziamento, convalidato anche nei successivi gradi di giudizio.

Le aziende, dal canto loro, devono prestare attenzione a rispettare i limiti imposti dalla legge sulla protezione dei dati e sulla privacy, evitando controlli indiscriminati o eccessivamente invasivi.

Il diritto alla privacy non giustifica l’illecito

La decisione della Cassazione ribadisce il principio per cui il diritto alla privacy del lavoratore non può essere invocato per giustificare un comportamento illecito. L’abuso dei permessi retribuiti per finalità personali può legittimare il licenziamento, se supportato da prove raccolte in modo lecito. Con questa pronuncia, la giurisprudenza si conferma attenta a bilanciare le esigenze di tutela dei lavoratori con il diritto dell’azienda a proteggere la propria organizzazione da condotte scorrette.

Sanzioni privacy ridotte per gli enti non profit: il principio applicato dal Garante

/0 Commenti/in /da

La decisione si basa su un’interpretazione dell’articolo 83 del Regolamento generale sulla protezione dei dati (GDPR), tenendo conto della natura, delle finalità e delle condizioni economiche di queste realtà.

Un quadro normativo orientato alla proporzionalità

Secondo l’articolo 83 del GDPR, le sanzioni amministrative devono essere determinate in base ai principi di effettività, proporzionalità e dissuasività. In questo caso specifico, il Garante ha riconosciuto che l’ente destinatario del provvedimento operava con risorse finanziarie limitate e finalizzate esclusivamente a scopi formativi, divulgativi e informativi. Di conseguenza, ha ritenuto che le violazioni contestate derivassero da una condotta colposa piuttosto che dolosa, giustificando così una riduzione della sanzione.

Il principio di proporzionalità, sancito dall’art. 83, paragrafo 1, ha dunque avuto un peso determinante nella valutazione del caso. L’Autorità ha considerato non solo l’entità della violazione, ma anche la capacità economica dell’associazione e la sua situazione finanziaria compromessa da una grave perdita di esercizio. In questo modo, è stato riconosciuto che un’applicazione rigida delle sanzioni avrebbe potuto compromettere l’esistenza stessa dell’organizzazione, con il rischio di ostacolare le attività di interesse generale che essa svolge.

Privacy e terzo settore: un equilibrio necessario

Le associazioni senza scopo di lucro gestiscono spesso dati sensibili, in particolare quando operano in ambiti come l’assistenza sociale, la tutela dei diritti o la promozione culturale. Per questo motivo, devono attenersi scrupolosamente alle disposizioni del GDPR, che impone standard rigorosi per la raccolta, l’archiviazione e il trattamento delle informazioni personali. Tuttavia, la complessità della normativa e le risorse limitate di molte realtà del terzo settore rendono difficile la piena conformità alle prescrizioni.

Proprio per queste ragioni, il Garante ha adottato un approccio più sfumato rispetto a quello riservato alle imprese commerciali. Pur confermando la necessità di tutelare i diritti dei cittadini in materia di dati personali, ha ritenuto opportuno modulare le sanzioni in base alle specificità degli enti coinvolti. Questa impostazione evita che le organizzazioni non profit vengano penalizzate in misura sproporzionata rispetto alla loro capacità economica e operativa.

Implicazioni della decisione del Garante

La scelta di attenuare le sanzioni per gli enti del terzo settore potrebbe costituire un precedente significativo per future valutazioni in materia di privacy. Da un lato, si conferma l’importanza di un’applicazione flessibile del GDPR, che tenga conto delle diverse realtà organizzative; dall’altro, si ribadisce la necessità per le associazioni di adottare misure adeguate per garantire la protezione dei dati personali.

Questa decisione solleva inoltre un tema di più ampia portata: come bilanciare l’esigenza di trasparenza e sicurezza con la sostenibilità delle attività degli enti non profit? Se da una parte il rispetto delle normative in materia di privacy è imprescindibile, dall’altra occorre evitare che adempimenti troppo gravosi possano minare la sopravvivenza di realtà che svolgono un ruolo essenziale nel tessuto sociale.

Possibili sviluppi e raccomandazioni per gli enti non profit per evitare sanzioni in materia di privacy

Per evitare problemi con la normativa sulla protezione dei dati, le associazioni devono adottare un approccio proattivo alla compliance. Tra le azioni consigliate vi sono:

  • Formazione del personale: Sensibilizzare i volontari e i dipendenti sulle regole del GDPR per ridurre il rischio di errori e violazioni.
  • Nomina di un responsabile della protezione dati (DPO): Anche se non obbligatorio per tutti gli enti, un DPO può fornire un supporto essenziale nell’adeguamento alle normative.
  • Adozione di misure di sicurezza adeguate: Utilizzo di sistemi crittografici, aggiornamento delle policy di accesso ai dati e verifica periodica delle procedure interne.
  • Redazione di informative chiare e accessibili: Garantire che i soggetti interessati siano consapevoli delle modalità di trattamento dei loro dati e dei loro diritti.
  • Valutazioni periodiche della conformità: Effettuare controlli regolari per individuare eventuali criticità e intervenire tempestivamente.

Conclusioni

La decisione del Garante rappresenta un segnale importante per il mondo del non profit, sottolineando la necessità di un’applicazione della normativa privacy che tenga conto della natura e delle risorse degli enti coinvolti. Tuttavia, questa maggiore flessibilità non deve essere interpretata come un’esenzione dagli obblighi previsti dal GDPR: le associazioni devono comunque adottare tutte le misure necessarie per garantire la protezione dei dati personali, dimostrando un impegno concreto nella tutela della privacy.

In un contesto normativo in continua evoluzione, il tema della protezione dei dati nel terzo settore rimane centrale. Sarà quindi fondamentale monitorare gli sviluppi futuri e promuovere strategie che consentano agli enti non profit di operare in conformità con le disposizioni vigenti, senza che ciò comprometta la loro missione sociale.

Il testo del provvedimento

Qui il documento completo.

Calcolo sanzioni GDPR: conta il fatturato della singola azienda o quello di gruppo?

/0 Commenti/in /da

Sanzioni previste dal GDPR: il calcolo si basa sul fatturato di ogni singola azienda o su quello complessivo del gruppo di aziende? Risponde la CGUE.
 Continua a leggere

Il GDPR è valido anche per Wikipedia: lo sostiene il Garante della Privacy

/0 Commenti/in /da

Anche l’enciclopedia online tra le più famose della Rete, Wikipedia, deve rispettare le regole sul giornalismo e la manifestazione del pensiero e il GDPR: ecco cosa ha stabilito il Garante della Privacy.
 Continua a leggere