Nell’ultima settimana il Garante per la protezione dei dati personali si è dato molto da fare, emanando aggiornamenti e pareri su tre tematiche: referti online, lotteria degli scontrini e cashback.

Di seguito, gli aspetti più rilevanti.

REFERTI ONLINE

Lo scorso 12.10, il Garante per la protezione dei dati personali ha rilasciato una versione aggiornata delle FAQ in materia di referenti on-line, consultabile qui. 14, in totale, le domande che l’Autorità Garante ha ritenuto essere le più frequenti e importanti in materia: dalla semplice definizione di “referto medico”, alle prescrizioni da osservare per proteggere i dati degli interessati in caso di referti disponibili sui siti web delle strutture sanitarie, alle modalità di consegna del referto tramite posta elettronica, al tipo di informativa da rilasciare agli interessati, alla richiesta di consenso al trattamento dei dati dell’interessato e fino agli adempimenti da realizzare in caso di data breach.

Dette FAQ devono, poi, essere lette nell’ambito delle Linee guida in tema di referti on-line del 25.06.20009 e dei numerosi provvedimenti in materia emanati dall’Autorità Garante, nonché del D.P.C.M. del 08.08.2013 relativo alle modalità di consegna, da parte delle Aziende sanitarie, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali.

LOTTERIA DEGLI SCONTRINI

È del 01.10 u.s. il provvedimento con cui il Garante per la protezione dei dati personali ha reso parere favorevole sullo schema di determinazione del direttore dell’Agenzia delle dogane e dei monopoli, d’intesa con l’Agenzia delle entrate, di attuazione della c.d. lotteria degli scontrini”.

Tale parere è frutto del fatto che il predetto schema e le due valutazioni di impatto allegate hanno tenuto conto delle indicazioni fornite dall’Autorità Garante, nel corso delle interlocuzioni avvenute in precedenza con i rappresentati di entrambe le Agenzie e finalizzate proprio ad assicurare la conformità e il rispetto del Regolamento UE n. 2016/679 (GDPR), anche in relazione all’attribuzione degli ulteriori premi.

Nel corso dell’istruttoria sono, comunque, stati approfonditi tutti gli aspetti più critici dal punto di vista del trattamento dei dati e, nello specifico: le modalità di attribuzione e comunicazione delle vincite agli esercenti; il ruolo assunto dai soggetti esterni eventualmente coinvolti nella comunicazione delle vincite e nei pagamenti dei premi e la documentazione da presentare al fine di attestare che il pagamento si sia verificato con l’utilizzo di strumenti di elettronici.

Un approfondimento specifico, inoltre, è stato dedicato alle procedure di autenticazione informatica previste per l’accesso all’area riservata del “Portale lotteria” da parte degli esercenti e le modalità di individuazione dei soggetti autorizzati ad accedervi per conto degli stessi (c.d. “gestori incaricati”).

Il testo integrale del parere reso dell’Autorità Garante è consultabile cliccando qui.

CASHBACK

Con provvedimento n. 179 del 13.10 u.s. arriva un altro parere favorevole dall’Autorità Garante, che si è espressa sullo schema di regolamento recante le condizioni e i criteri per l’attribuzione delle misure premiali per l’utilizzo degli strumenti di pagamento elettronici, c.d. cashback”.

Attenzione, però, che il sì emanato dal Garante per la protezione dei dati personali si riferisce unicamente allo schema di regolamento e non al trattamento, che non può avere inizio. Ciò, in quanto:

  • è rimasta al vaglio del Garante la valutazione di impatto predisposta da PagoPA relativamente ai trattamenti realizzati tramite l’APP IO;
  • il Ministero dell’economia e delle finanze deve ancora far avere al Garante la valutazione di impatto sul trattamento dei dati, in cui dovranno essere specificate le misure tecniche e organizzative adottate a garanzia dei dati, oltre le modalità e il periodo di conservazione degli stessi.

Infatti il Garante per la protezione dei dati personali – sebbene nel corso dell’istruttoria abbia appurato il recepimento nello schema delle indicazioni in precedenza fornite – ha, però, prescritto che nel regolamento vengano previste e disciplinate stringenti garanzie a tutela dei dati degli interessati coinvolti. Ciò, in considerazione del fatto che il trattamento dei dati, sotteso al funzionamento del programma, presenta rischi elevati per i diritti e le libertà degli interessati, derivanti dalla raccolta massiva e generalizzata delle informazioni di dettaglio, potenzialmente riferibili ad ogni aspetto della vita quotidiana dell’intera popolazione che, in quanto tali, necessitano di specifiche e maggiori tutele.

Non resta, quindi, che attendere il parere finale dell’Autorità in merito alle predette valutazioni di impatto; nel frattempo, è possibile consultare il testo integrale del provvedimento cliccando qui.