Nella newsletter di maggio 2021 il Garante riporta anche altri due provvedimenti sanzionatori relative a vicende molto interessanti.

Il Garante a comminato la sanzione ad un imprenditore che non aveva fornito ai suoi dipendenti la corretta informativa circa le caratteristiche del sistema informatico aziendale che aveva impiegato per trattare i dati personali. Inoltre il trattamento era andato anche oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato del lavoro competente.

Il Garante è intervenuto per un esposto presentato da un sindacato. In seguito all'accertamento ha verificato che, diversamente da quanto sosteneva l’azienda, il sistema, raccoglieva  dati per finalità ulteriori e diverse da quelle dichiarate nelle informative.

La informativa non conteneva tali finalità ulteriori e non erano autorizzate dall’Ispettorato. Il direttore del personale, nell'ambito di un procedimento disciplinare che riguardava i fermi macchina non autorizzati relativi al macchinario sul quale il lavoratore era assegnato.

Il Garante ha anche potuto accertare che insieme alla raccolta dei dati nel sistema informatico, era mantenuta in atto la precedente modalità di organizzazione del lavoro, basata sulla compilazione di moduli cartacei, con il nominativo dei dipendenti indicato in chiaro. Questi moduli venivano poi caricati e conservati su un apposito software, ma senza alcuna separazione, tanto che i dati in essi contenuti erano stati utilizzati nel procedimento disciplinare.

In questo modo la società contravveniva a quanto indicato nelle informative sul funzionamento del sistema e nell’autorizzazione rilasciata dall’Ispettorato, che vietavano espressamente l’utilizzo dei dati raccolti a fini disciplinari.

Ulteriori irregolarità riguardavano i tempi di conservazione dei dati dei lavoratori.

L’Autorità quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e le ha ingiunto il pagamento di una sanzione di 40.000€.

A questo punto una riflessione è d'obbligo.

Al di la dei comportamenti illeciti, l'importanza della informativa appare ancora oggi ampiamente sottovalutata. Spesso mi arrivano richieste di invio o redazione di quella che in molti chiamano la "dicitura privacy" intendendo, evidentemente, che possa esistere un modulo standard e che possa ritenersi esaustivo dell'obbligo di corretta informazione con un semplice adempimento formale.

Questo significa inoltre che ogni trattamento deve avere la sua informativa. 

Oltre tutto l’informativa è lo strumento attraverso il quale gli interessati vengono a conoscenza di tutti gli elementi necessari per poter esercitare i propri diritti sulle informazioni possedute dal titolare.

Proprio per questo l'informativa deve contenere informazioni vere e verificabili, deve essere dettagliata ma semplice, tale da essere facilmente compresa come ha peraltro indicato il Garante in diversi provvedimenti e comunicazioni.

L’informativa è il primo atto che deve compiere il titolare nei confronti degli interessati prima di iniziare un trattamento, ed è uno dei primi oggetti di verifica in caso di ispezione.

Per tutte queste ragioni, tornando a quanto detto all’inizio, si può comprendere come una informativa standard non può esistere e come debba essere scritta con massima attenzione ai modi ed ai contenuti.

La redazione dell’informativa può essere quindi una attività complessa che richiede l’intervento di un professionista esterno. Il consiglio è quindi di prestare grande attenzione a chi ci si rivolge ed a non sottovalutare questo adempimento.

Gli altri due provvedimenti riguardano un medico ed il comune di Palermo.

Il primo ha a che fare con l’attività di divulgazione scientifica e di studi clinici nell’ambito di un convegno scientifico.

Un medico ha ricevuto la sanzione per aver utilizzato immagini di un paziente per predisporre una presentazione utilizzata durante il convegno. Tali immagini sono state utilizzate senza il consenso del paziente (interessato al trattamento) e senza anonimizzarle. Analoga sanzione è stata poi irrogata anche all’associazione che ha pubblicato lo studio sul proprio sito.

La ASL è stata invece solamente ammonita, pur non avendo adottato tutte le misure utili a prevenire che il personale autorizzato all’accesso ai dati potesse utilizzarli per scopi diversi da quelli di cura, visto che l’episodio è risultato isolato ed è comunque intervenuta tempestivamente.

Il secondo riguarda la mancata implementazione di misure by design e by default nella piattaforma utilizzata dal Comune di Palermo per la gestione delle domande di bonus spesa Covid-19.