Segnaliamo la nuova newslettere del Garante della Privacy che contiene due casi di particolare interesse. Il primo e la nascita dell’archivio informatico contro le frodi assicurative, mentre il secondo pubblicizza il parere favorevole del Garante della Privacy all’accesso, da parte delle forze di Polizia, alle intestazioni dei numeri telefonici. Sotto il testo completo:


Assicurazioni: sì all’archivio informatico integrato contro le frodi Nella nuova banca dati dell’Ivass solo dati indispensabili e protetti da elevate misure di sicurezza

Il Garante ha espresso parere favorevole sullo schema di decreto per l’istituzione e il funzionamento dell’ “archivio informatico integrato” contro le frodi assicurative [doc. web n. 3320757]. In base alla bozza di regolamento, predisposto dal Ministro dello sviluppo economico e dal Ministro delle infrastrutture e dei trasporti, il nuovo archivio sarà istituito presso l’Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo (IVASS) con lo scopo di fornire dati alle imprese di assicurazione (per la valutazione del livello di anomalia di ogni sinistro e per la loro liquidazione) e agli altri soggetti previsti dal regolamento come autorità giudiziaria e forze di polizia (per finalità antifrode). L’IVASS raccoglierà in un unico database le informazioni di numerose banche dati come quella dei sinistri, l’anagrafe testimoni e l’anagrafe danneggiati (già istituite presso l’IVASS), della banca dati dei contrassegni assicurativi, dell’archivio nazionale dei veicoli, dell’anagrafe nazionale degli abilitati alla guida e del PRA (Pubblico registro automobilistico), della banca dati contenente le informazioni relative al ruolo dei periti assicurativi. All’archivio informatico integrato confluiranno anche le informazioni sull’installazione e attivazione delle cosiddette “scatole nere”, raccolte a fini antifrode. Dai dati raccolti, l’IVASS sarà in grado di calcolare per ogni sinistro un cosiddetto “indicatore di anomalia” sul rischio di fenomeni fraudolenti, per poi comunicarlo alle imprese di assicurazione coinvolte. L’Autorità, prima del via libera, considerando i potenziali rischi per la privacy di un progetto così ampio, ha indicato agli uffici competenti adeguate tutele poi inserite nella bozza di decreto. In particolare il Garante ha richiesto che vengano utilizzati solo dati pertinenti e non eccedenti, oltre che espressamente individuati, rispetto alle specifiche finalità perseguite dall’IVASS con questa iniziativa. Dovranno inoltre essere individuati con precisione tempi e modalità di conservazione dei dati. Particolari misure, infine, dovranno essere adottate per garantire la sicurezza dei dati, anche in fase di trasmissione e conservazione.

Maggiori garanzie per i dati degli utenti telefonici accessibili a fini di giustizia Ok del Garante alla Convenzione tra Ministero dell’interno e gestori tlc
Parere favorevole del Garante privacy sullo schema di Convenzione tra il Ministero dell’interno e i gestori di servizi di telecomunicazioni che regola l’accesso telematico delle forze di polizia e dell’autorità giudiziaria ai dati dei possessori di telefoni fissi e mobili [doc. web n. 3259425]. Il via libera si riferisce ad una versione di schema aggiornato alla luce degli approfondimenti svolti con l’Ufficio del Garante che hanno permesso di chiarire alcuni aspetti della Convenzione e di introdurre maggiori garanzie per i possessori di telefoni fissi e mobili. A seguito dell’intervento del Garante, l’accesso ai dati (nome, cognome, numero telefonico, data attivazione/cessazione linea, residenza, ecc.) – previsto dalla legge e autorizzato solo per finalità di giustizia – avverrà esclusivamente tramite il Centro di elaborazione dati (Ced) del Dipartimento della pubblica sicurezza utilizzando uno specifico sistema informatico denominato Elenco Telefonico Nazionale (ETNa). Un sistema che consente la consultazione delle banche dati dei vari gestori e non comporta la creazione di un nuovo archivio né la duplicazione di informazioni. Tutti gli accessi ai dati saranno tracciati e potranno avvenire solo da postazioni di lavoro certificate e gli utenti (ufficiali e agenti di polizia e personale designato dai capi degli uffici giudiziari) dovranno essere in possesso  di specifici profili di abilitazione e credenziali di autenticazione personali. Il flusso di comunicazione dovrà essere protetto da elevati standard di sicurezza e non potranno essere utilizzati dispositivi automatici che consentono di consultare i dati in forma massiva. Precisati anche i compiti dei supervisori e degli amministratori locali, due figure  preposte, tra l’altro, alla individuazione e alla gestione operativa, formazione e controllo del personale abilitato ad accedere ad ETNa. Introdotto, inoltre, l’obbligo per i gestori tlc di trasmettere al Ced report delle attività di monitoraggio e controllo delle operazioni effettuate dal personale che utilizza ETNa.

Lavoro: no alle motivazioni delle assenze in bacheca Il Garante vieta il trattamento a una società di trasporto pubblico locale  
Il datore di lavoro non deve comunicare al personale il motivo dell’assenza dei dipendenti. Il principio è stato affermato dal Garante privacy che ha vietato [doc. web n. 3325317] a una società di trasporto pubblico locale di mettere a disposizione di tutti gli autisti i turni di lavoro con  le motivazioni delle assenze dei colleghi. Nelle tabelle affisse nelle bacheche aziendali e nell’intranet aziendale, comparivano, accanto ai turni dei dipendenti, delle sigle indicanti le cause delle assenze: ad es. “MA” per “malattia” o “PAD” per “permesso assistenza disabili”, o ancora “PS” per “permesso sindacale”. Anche la legenda esplicativa era a disposizione di tutto il personale all’interno dell’azienda. L’obiettivo di tale comunicazione era, secondo le dichiarazioni della società, quello di ottimizzare l’organizzazione del servizio ed evitare contestazioni dei dipendenti sulle sostituzioni. L’Autorità, intervenuta su segnalazione di un sindacato, ha ritenuto illecita tale divulgazione di dati personali, in alcuni casi anche sensibili, perché effettuata in violazione del principio di pertinenza e non eccedenza del Codice. Per garantire una corretta gestione dei turni di lavoro sarebbe stato sufficiente fornire agli autisti la semplice informazione dell’assenza dei colleghi e delle necessarie sostituzioni, omettendo  le motivazioni.  Di conseguenza il Garante ha vietato l’ulteriore comunicazione delle ragioni delle assenze dal servizio contenuti nelle tabelle dei turni ed ha prescritto alla società di adottare entro trenta giorni opportune misure volte a conformare il trattamento dei dati personali, specie se di natura sensibile e idonei a rivelare lo stato di salute, alla disciplina di protezione dei dati personali, come previsto dal Codice privacy e dalle Linee guida sul trattamento dei dati personali dei lavoratori privati.