GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/337/01.png

Dettaglio news
Una sana policy di gestione della privacy mette al sicuro da reclami e sanzioni


martedì 7 aprile 2020
di Comitato Scientifico - Accademia Italiana Privacy





Talvolta, ad un primo sguardo veloce, può sembrare che alcuni obblighi e prescrizioni del GDPR siano fumosi, poco chiari. Noi, che di professione traduciamo in pratica (nell'organizzazione aziendale, nella sicurezza informatica, nella compliance) queste prescrizioni, abbiamo però molto molto chiaro come predisporre linee guida e avere preventivamente strutturato una corretta policy per la gestione della protezione dati, equivalga realmente all'avere una polizza di assicurazione sempre pronta, della quale il Garante darà doverosamente atto in caso di necessità di pronuncia.

Ecco quindi un caso occorso nel quotidiano svolgimento della professione ad alcuni nostri soci, l'Avvocato Gianni dell'Aiuto per il profilo legale e il ricorso al Garante e Alessandro Papini, Presidente di Accademia Italiana Privacy, come responsabile della compliance al GDPR per il laboratorio in oggetto. Un caso concreto, che dimostra come approntare una buona policy privacy e di sicurezza dei dati sia indubbiamente un costo, ma che, mettendo al riparo da futuri problemi, assume in realtà il valore di un investimento. 

  • IL CASO

Un padre separato, si rivolgeva al Garante ritenendo che vi fosse stata una violazione del GDPR da parte di un laboratorio di analisi che si era rifiutato di consegnargli i risultati delle analisi effettuati sulle proprie figlie, richieste dalla madre. La struttura non si rifiutava di consegnare i referti ma chiedeva, tra l’altro, una prova della paternità e che non sussistessero motivi ostativi al rilascio della documentazione quali, ad esempio, limitazioni alla potestà genitoriale. Avendo inoltre il richiedente avanzata la propria richiesta utilizzando una email personale, il laboratorio riteneva che, trattandosi di dati personali sensibili relativi a minori, e non essendovi certezza di chi fosse il richiedente, non solo non potesse inviarli a mezzo email, ma chiedeva anche adeguata documentazione attestante l’effettiva identità del richiedente.

Nel successivo scambio di comunicazioni, il laboratorio precisava che, mentre per l’assenza di ragioni ostative al rilascio un’autocertificazione fosse sufficiente, per la paternità era comunque necessario un atto dello stato civile: il richiedente quindi inviava i documenti in formato elettronico, senza però alcuna attestazione dell’originalità, ergo senza attestazione dell’originalità della firma sull’autocertificazione. Non avendo inoltre fornita una PEC, venivano concordate modalità per il ritiro dei referti presso la sede del laboratorio.

Al momento dell’accesso il richiedente si presentava senza l’originale del certificato e senza l’autocertificazione, sostenendo fosse sufficiente quanto inviato via mail. A fronte del rifiuto del laboratorio di consegnare i referti senza poter disporre dei documenti in originale, il richiedente se ne andava. Il laboratorio provvedeva a far inviare dal proprio legale una comunicazione con cui metteva a disposizione i referti anche a mezzo PEC, previa consegna di quanto richiesto in originale.  Veniva adito il Garante dal richiedente.

Il comportamento del laboratorio veniva analizzato dal Garante che ne rilevava la correttezza fin dall’inizio, movendo dall’art. 12.6 del Regolamento che impone al Titolare particolari doveri di diligenza, anche giungendo a chiedere informazioni sull’identità dell’interessato laddove nutra ragionevoli dubbi sulla stessa, come del resto previsto già dal considerata 64 secondo cui “Il titolare del trattamento dovrebbe adottare tutte le misure ragionevoli per verificare l’identità di un interessato che chieda l’accesso”.

Il Garante ha quindi reputato corretto il comportamento del laboratorio, che ha previsto nelle sue policy la necessità di accertare il richiedente non solo come persona fisica, ma anche in ordine ai requisiti necessari per ottenere la certificazione, vale a dire, nel caso di specie, sia la paternità rispetto alle minori sia l’assenza di provvedimenti ostativi. Corretto inoltre non ritenere sufficienti documenti inviati a mezzo mail senza attestazioni di autenticità. 

Per il laboratorio, la prova che una buona Policy, evita gravi conseguenze.

Qui è visualizzabile la pronuncia dell'Ufficio Garante >> https://bit.ly/2x99PpZ




CONDIVIDI QUESTA PAGINA!