IL MIO DPO

rivista di aggiornamento
sugli adempimenti privacy

a cura del team privacy

Studio Legale Stefanelli & Stefanelli
Pubblicazione nr. 5/2023
Novembre 2023
Pubblicazione di Stefanelli & Stefanelli servizi legali s.r.l.s.
Via Azzo Gardino 8/A - 40122 Bologna
info@stefanelli-servizilegali.it

Tutti i diritti di traduzione, di riproduzione, di adattamento, totale o parziale, con qualsiasi

mezzo (compresi i microfilm e le copie fotostatiche) sono riservati.
Ogni permesso deve essere dato per iscritto dall’editore.
 PREFAZIONE
La normativa in materia di trattamento dei dati personali si arricchisce ogni giorno dei
provvedimenti attuativi dei garanti nazionali, delle decisioni di natura sanzionatoria, delle
Linee guida dell’European Data Protection Board (EDPB), delle sentenze dei giudici nazionali
e della Corte di giustizia europea.

Il corretto trattamento dei dati personali passa dunque non solo attraverso la conoscenza
del Regolamento (UE) 2016/679 e del Codice Privacy, ma anche attraverso la conoscenza e
lo studio del ricchissimo e prezioso materiale prodotto ogni giorno dalle autorità competenti
e dai giudici su tutto il territorio nazionale e comunitario.

Lo Studio Legale Stefanelli&Stefanelli ha deciso quindi di selezionare e raccogliere i

contenuti di cui ritiene imprescindibile la conoscenza da parte dei Titolari e Responsabili del
trattamento, mettendoli a disposizione delle organizzazioni che hanno scelto di affidarci il
ruolo di DPO e coloro che seguono le attività del nostro studio.
Un breve focus su ciascuna novità e un approfondimento redatto dai nostri esperti della
materia, allo scopo di fornire a coloro che devono gestire e organizzare il trattamento dei
dati personali una modalità di aggiornamento rapida ed efficace.

Buona lettura!

Studio legale Stefanelli&Stefanelli

 INDICE DEI CONTENUTI

I nostri approfondimenti.............................................................................6
Intelligenza Artificiale.......................................................................................................6

Sanzioni privacy.................................................................................................................8

Whistleblowing.......................................................... ......................................................10

Osservatorio Europeo della privacy: pubblicazioni e pronunce di

rilievo............................................................................................................11

Intelligenza Artificiale.....................................................................................................11

Diritti degli interessati...................................................................................................14

Trasferimento dati extra UE.........................................................................................16

Marketing..........................................................................................................................17

Ricerca medica, biomedica ed epidemiologica.........................................................18

Siti web, Cookie e altri strumenti di tracciamento..................................................20

Secondary use.................................................................................................................22
 INDICE DEI CONTENUTI

Osservatorio Sanzioni Garanti Europei............................................... 23

Sanità.................................................................................................................................23

Tempi di conservazione dei dati nel contesto sanitario........................................25

Lavoro.................................................................................................................................26

Diritti degli interessati....................................................................................................27

Diffusione e comunicazione illecita di dati sanitari.................................................29

Marketing..........................................................................................................................30
 I nostri approfondimenti

Intelligenza Artificiale

Il Garante privacy italiano ha pubblicato il decalogo

per la realizzazione di servizi sanitari nazionali
attraverso sistemi di Intelligenza Artificiale

L’articolo introduce il documento del Garante Privacy “Decalogo per la realizzazione di servizi Sanitari
Nazionali attraverso sistemi di intelligenza artificiale” pubblicato in data 12 ottobre, evidenziando il punto relativo
ai principi di accountability e di privacy by design e by default nella applicazione dei sistemi di AI nell’ambito del
SSN.

Leggi l’articolo di avv. Maddalena Collini e Federica Pucarelli pubblicato su www.privacygdpr.it

Link

Nella pagina seguente vi proponiamo un’infografica sul decalogo

| RIVISTA IL MIO DPO | ANNO 5 NR 5 6

| RIVISTA IL MIO DPO | ANNO 5 NR 5 7
 Sanzioni privacy

White Paper: le sanzioni del Garante Privacy in

sanità nel 2022
L’esercizio del potere sanzionatorio del Garante Privacy nel corso degli anni ha conosciuto e continua a
conoscere delle evoluzioni.

A cinque anni dalla piena applicazione del GDPR (2018), continuiamo a tenere monitorato l’andamento delle
sanzioni del Garante Privacy nel settore della sanità.

Nel 2022 rispetto al 2021 è emerso un aumento degli importi medi delle sanzioni e si segnalano novità circa
l’origine delle sanzioni e la loro tipologia.

Abbiamo realizzato un Whitepaper per offrire una sintesi dei provvedimenti e delle sanzioni comminate dal
Garante italiano nel 2022. Clicca qui per scaricarlo

| RIVISTA IL MIO DPO | ANNO 5 NR 5 8

 Dati relativi alla salute: cosa sono e come si
calcolano le sanzioni. L’indirizzo della Cassazione

Una recente sentenza della Cassazione stabilisce un principio di diritto circa la nozione di “dati relativi alla
salute” che non si possono non tenere in considerazione. Inoltre, dà indicazioni su come calcolare eventuali
sanzioni, evidenziando che non tutte le violazioni di dati relativi alla salute sono uguali.

Leggi l’articolo di avv. Maria Livia Rizzo pubblicato su CYBERSECURITY360

Link

Violazioni privacy: quanto costano? La Cassazione

stabilisce i parametri

La Corte di Cassazione ha stabilito con l’ordinanza n. 27189/2023 alcuni principi di diritto in merito alla
quantificazione delle sanzioni in ambito privacy. Principi che dovranno trovare applicazione nei giudizi contro i
provvedimenti sanzionatori del Garante.

Leggi l’articolo di avv. Maria Livia Rizzo pubblicato su www.privacygdpr.it

Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 9

 Whistleblowing

Whistleblowing: occhio agli adempimenti privacy!

Il 17 dicembre scade il termine ultimo per l’adeguamento degli enti con meno di 250 dipendenti al Decreto
24/2023 relativo al Whistleblowing.

In concomitanza con l’implementazione di un sistema di gestione delle segnalazioni di illeciti, gli enti dovranno
necessariamente mettere in atto specifici adempimenti a protezione dei dati personali delle persone segnalanti:
nell’articolo un breve guida sulla corretta introduzione delle piattaforme di whistleblowing nel rispetto del GDPR.

Leggi l’articolo di avv. Federica Pucarelli e Avv. Maria Livia Rizzo pubblicato su
www.studiolegalestefanelli.it Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 10

 Osservatorio Europeo
della privacy:
pubblicazioni e pronunce
di rilievo
Intelligenza Artificiale

Indagine del Garante Privacy sulla raccolta di dati

online per l’addestramento di IA

Sono diverse le piattaforme di Intelligenza Artificiale (IA) che, attraverso la raccolta massiva di dati personali,
ottengono da siti web enormi quantità di dati personali e li utilizzano per gli scopi più vari, tra cui l’addestramento
degli algoritmi di IA.

Questa attività di raccolta “a tappeto”, conosciuta come “webscraping” è oggi oggetto di un’indagine del
Garante Privacy, che si è rivolto a associazioni di categoria e di consumatori, ad esperti e rappresentanti del
mondo accademico per raccogliere commenti e contributi sulle misure di sicurezza adottate e adottabili contro la
raccolta massiva di dati personali a fini di addestramento degli algoritmi.

Leggi il comunicato stampa sul sito del Garante

Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 11

 Commissione Europea pubblica il
“Technical report Artificial intelligence for healthcare
and well-being during exceptional times”

Il rapporto “Artificial intelligenze for healthcare and well-being during exceptional times” fornisce uno stato
dell’arte delle applicazioni attuali e del prossimo futuro dell’Intelligenza Artificiale (IA) in medicina, sanità e
benessere.

L’analisi include software, dispositivi di monitoraggio personale, test genetici e strumenti di editing, modelli
digitali personalizzati, piattaforme online, dispositivi di realtà aumentata e robotica chirurgica e di compagnia e
identifica le particolarità dei sistemi di IA, le opportunità e i rischi ad essi associati, nonché il loro impatto sociale,
considerando la loro maturità, disponibilità, controversia e sostenibilità. Lo studio identifica cinque aree chiave in
espansione con particolare significato in termini di impatto sociale: Strumenti di IA per la salute mentale, editing
genico mediato dall’IA, strumenti di IA per l’epidemiologia e il monitoraggio dei dati sanitari, neurotecnologie
mediate dall’IA e inclusione della neurodiversità mediata dall’IA, e li descrive in dettaglio considerando le scale.

Commissione Europea “Artificial intelligence for healthcare and well-being during exceptional times”
Scarica il documento

| RIVISTA IL MIO DPO | ANNO 5 NR 5 12

 Le proposte di direttiva sulla responsabilità civile per
danni causati dall’Intelligenza Artificiale: il parere del
Garante europeo per la protezione dei dati

Il 28/9/2022 la Commissione europea ha presentato una proposta di direttiva in materia di responsabilità

extracontrattuale per i danni causati dai sistemi di IA.

Le norme intendono armonizzare alcune regole relative alle richieste di risarcimento del danno, quando il
danno è causato da problemi di sicurezza oppure da un comportamento illecito, quale la violazione della
privacy.

L’European Data Protection Supervisior ha rilasciato sulla proposta di Direttiva l’Opinion 42/2023, chiedendo
la conferma esplicita che la proposta non pregiudicherà la normativa dell’Unione in materia di protezione dei dati
e raccomandando di estendere le garanzie procedurali previste dagli articoli 3 e 4 della proposta, vale a dire la
divulgazione delle prove e la presunzione del nesso di causalità, a tutti i casi di danni causati da un sistema di IA,
indipendentemente dalla sua classificazione come ad alto rischio o non ad alto rischio.

L’EDPS chiede inoltre di garantire che le informazioni divulgate ai sensi dell’articolo 3 siano accompagnate
da spiegazioni da fornire in forma intelligibile e generalmente comprensibile, di prendere in considerazione
misure aggiuntive per alleggerire ulteriormente l’onere della prova per le vittime dei sistemi di IA come mezzo per
garantire l’efficacia delle norme UE e nazionali in materia di responsabilità.

Vai al sito dell’EDPS per scaricare l’Opinion 42/2023 on the Proposal for two Directives on AI liability
rules Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 13

 Diritti degli interessati

Parere sullo schema di decreto del Ministro della

salute sul Sistema informativo nazionale per le
dipendenze (SIND)

L’Autorità Garante ha espresso parere favorevole sul decreto relativo al Sistema informativo nazionale per
le dipendenze (SIND), in quanto appurato che il Ministero della Salute ha riformulato lo schema di decreto e
l’allegato disciplinare conformemente alle osservazioni pervenute dall’Autorità, in particolare:

• è stata espunta la variabile relativa all’”assistito detenuto” tra i dati raccolti dal SIND;

• sono state puntualmente definite le finalità per le quali è previsto il trattamento di dati aggregati;

• sono state fornite assicurazioni in merito al tracciato denominato “Monitoraggio HIV” che rileva solo dati
aggregati relativi all’esecuzione del test sierologico HIV da parte degli utenti del SerD in cui non sono
presenti variabili di natura anagrafica;

• è stato specificato che la comunicazione dei dati tra Ministero e Regioni consiste in un’attività di tipo tecnico,
volta a restituire informazioni analitiche sulla qualità dei dati inviati rispetto ai valori di dominio attesi, al
fine di consentire alla regione stessa l’individuazione di valori errati o anomali per facilitare l’eventuale
correzione dei dataset inviati;

• sono state richiamate le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati
nell’ambito del Sistema statistico nazionale, adottate con Provvedimento del Garante n. 514 del 19 dicembre
2018 (doc. web n. 9069677) e riportate nell’Allegato A del d.lgs. n. 196 del 2003;

• è stato precisato che la produzione di analisi statistiche e indicatori statistici sul fenomeno dell’assistenza
sanitaria a persone con dipendenze o con comportamenti a rischio di uso e di abuso di sostanze è a cura
dell’Ufficio di statistica del Ministero della salute.

Vai al sito del Garante per leggere il parere del - 12 ottobre 2023 [docweb 9947458]
Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 14

 Risarcimento del danno: l’interessato può chiedere i
danni all’impresa che ha subito un cyberattacco con
esfiltrazione dei suoi dati personali

Con riferimento alle cause riunite C182/22 e C189/22 l’avvocato generale della Corte di Giustizia Ue (CGUE),
nelle sue conclusioni del 26/10/2023, ha sostenuto che gli interessati possono chiedere i danni immateriali
all’impresa che ha subito un cyberattacco con esfiltrazione dei dati personali, anche se i dati non sono stati ancora
utilizzati dagli attaccanti.

Per poter avanzare una richiesta risarcitoria, quindi, non serve aspettare un eventuale furto di identità: è
sufficiente il furto dei dati.

Si tratta di un’interpretazione del Reg. UE 679/2016 (GDPR) molto favorevole per gli interessati che di fatto
spalanca la strada al risarcimento dei danni in caso di violazioni di dati personali.

Leggi le Conclusioni dell’Avvocato Generale presentate il 26/10/2023 Cause C‑182/22 e C‑189/22

Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 15

 Trasferimento dati extra UE

L’UE e il Giappone concludono un accordo storico

sui flussi di dati transfrontalieri
L’UE e il Giappone hanno concluso, a margine della riunione dei ministri del Commercio del G7 a Osaka, un
accordo storico per rendere le attività commerciali nel mondo online più semplici, meno costose e più efficienti.

Questo accordo rappresenta un forte vantaggio per le aziende che saranno sicuramente facilitate nello scambio
commerciale tra i due Paesi: i flussi di dati transfrontalieri, infatti, sono un fattore determinante per questo sviluppo.

Per quanto riguarda la protezione dei dati, il 23 gennaio di quest’anno l’UE e il Giappone hanno adottato
decisioni per consentire la circolazione libera e sicura dei dati personali tra i due Paesi. Hanno concordato di
riconoscere i reciproci sistemi di protezione dei dati come “equivalenti”, dando di fatto vita alla “più grande area
mondiale di flussi sicuri di dati”.

Leggi la notizia sul sito della Commissione Europea

Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 16

 Marketing

Data Act: Il Parlamento approva la nuova legge per

facilitare accesso e utilizzo dei dati

Il Parlamento Europeo ha approvato la nuova legge per facilitare l’accesso e l’utilizzo dei dati.

Il contesto in cui questa legge si inserisce vede la crescita esponenziale di dati generati da esseri umani e
macchine potenzialmente utili per l’innovazione delle imprese e delle autorità pubbliche, che, però, non vengono
utilizzati. La nuova legislazione disciplina quindi la condivisione dei dati generati dall’uso di prodotti “connessi” o
di servizi correlati (ad esempio, l’Internet Of Things e i macchinari industriali) e consentirà agli utenti di accedere e
verificare i dati che generano. La normativa mira anche a contribuire allo sviluppo di nuovi servizi, in particolare
nel campo dell’intelligenza artificiale, dove sono necessarie grandi quantità di dati per l’addestramento degli
algoritmi.

L’obiettivo è anche quello di rendere più economici i servizi post-vendita e le riparazioni dei dispositivi connessi.
Secondo la nuova legge, in circostanze eccezionali o di emergenza, come inondazioni e incendi, gli enti pubblici
potranno accedere e utilizzare i dati in possesso del settore privato.

Vai sul sito della Commissione Europea per scaricare il testo della Legge
Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 17

 Ricerca medica, biomedica ed
epidemiologica
Consultazione preventiva su progetto di ricerca -
SOPHIAGENETICS
Lo studio clinico osservazionale retrospettivo, prospettico, multicentrico internazionale, oggetto di un’istanza
di consultazione preventiva ai sensi dell’art. 110, comma 1 del Codice privacy aveva come finalità primaria
quella di realizzare lo Studio stesso e sviluppare un algoritmo per predire la potenziale evoluzione del tumore e
la risposta al trattamento, che potrebbe potenzialmente aiutare ad anticipare una possibile recidiva del tumore
e a migliorarne la pratica medica e di effettuare la meta-analisi dello Studio aggregando i dati raccolti da tutte
le istituzioni per l’analisi statistica. Obiettivo secondario quello di rafforzare e perfezionare il suddetto algoritmo,
consentendo il miglioramento e/o lo sviluppo dell’offerta di prodotti e/o servizi.

Il Garante ha richiesto ulteriori approfondimenti in merito alle finalità secondarie, ritenendo tali finalità non ben
definite e comunque non inerenti a scopi di ricerca scientifica.

Quanto alle basi giuridiche per il perseguimento delle finalità secondarie il Garante ritiene non applicabile
l’interesse legittimo della società.

Rispetto al consenso ha chiarito che esso deve essere raccolto a fasi progressive, deve essere informato, libero
specifico e granulare e manifestato per iscritto e non può considerarsi idoneo un consenso espresso in riferimento
a finalità indicate in maniera del tutto generica.

Vai al sito del Garante Italiano per leggere il provvedimento del 12 ottobre 2023 [9953841]
Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 18

 Consultazione preventiva su progetto di ricerca –
UNIVERSITÀ DI PISA

L’Università di Pisa ha avanzato un’istanza all’Autorità Garante ai sensi dell’art. 110 Codice e dell’art. 36 del
Regolamento per la raccolta retrospettiva dei dati necessari per la realizzazione dello studio clinico “PRedictive
In-silico Multiscale Analytics to support cancer personalized diaGnosis and prognosis, Empowered by imaging
biomarkers (PRIMAGE)”, trasmettendo il protocollo di studio, la valutazione di impatto sul trattamento dei dati, il
parere favorevole del Comitato etico territorialmente competente, Area Vasta Nord Ovest. Lo studio rientra nel
progetto europeo Horizon 2020.

Lo scopo dello studio è quello di realizzare una piattaforma open e cloud-based per supportare il processo
decisionale nella gestione clinica dei due tumori maligni che colpiscono pazienti in età pediatrica.

Il programma di ricerca consta di 4 fasi:

1. La prima fase prevede la raccolta di dati clinici, biologici e di imaging da parte di tutti i partner;

2. La seconda fase prevede lo sviluppo e l’addestramento del modello clinico predittivo;

3. Nella fase 3, i modelli predittivi sviluppati saranno integrati nella piattaforma dando come risultato un
sistema di supporto alle decisioni (DSS) che migliorerà la gestione delle malattie oggetto di studio;

4. Nella fase 4, il DSS e la piattaforma verranno convalidati e resi operativi.

L’università ha avanzato richiesta ex art. 110 in ragione della impossibilità di acquisire il consenso dei genitori
dei bambini deceduti da arruolare nello Studio, tenuto conto anche del potenziale stress emotivo causato ai
genitori.

L’Autorità ha approvato il progetto di ricerca, individuando la sua base giuridica nell’art. 9 lett. J) del GDPR,
come richiamato dall’Azienda stessa. Ha inoltre indicato all’Azienda di integrare la valutazione d’impatto con
l’indicazione degli sforzi compiuti o che intende compiere all’esito dei quali attestare l’effettiva irreperibilità degli
interessati; pubblicare sul sito web l’informativa privacy con la specifica individuazione dei tempi di conservazione
dei dati.

Vai al sito del Garante Italiano per leggere il provvedimento del 28 settembre 2023 [9948285]
Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 19

 Siti web, Cookie e altri strumenti
di tracciamento
Linee Guida 2/2023 sulla portata tecnica dell’art.
5(3) della Direttiva ePrivacy

L’ EDPB ha adottato le Linee guida sulla portata tecnica dell’art. 5 (3) della Direttiva ePrivacy .

Le linee guida mirano a chiarire quali operazioni tecniche, in particolare le tecniche di tracciamento nuove ed
emergenti, sono coperte dalla direttiva, e a fornire maggiore certezza giuridica ai titolari del trattamento dei dati
e ai singoli individui.

Le Linee Guida si inseriscono in un contesto in cui l’emergere di nuove tecniche, in aggiunta o in alternativa ai
cookie tradizionali, hanno dato origine a nuovi rischi per la privacy.

Queste linee guida affrontano quindi le implicazioni dell’utilizzo delle nuove soluzioni di tracciamento degli
utenti online, come il tracciamento di link e pixel, gli identificatori univoci, al fine di garantire che gli obblighi di
consenso stabiliti non vengano elusi.

Le Linee guida sono attualmente in consultazione preventiva. Seguirà quindi un ulteriore approfondimento
all’esito dell’adozione delle Linee Guida nella loro versione definitiva.

Vai al sito dell’EDPB Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive
Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 20

 Lo IAB (Interactive Advertising Bureau) adotta il
Transparency & Consent Framework (TCF)

Il TCF (Transparency & Consent Framework) applica i principi e i requisiti derivanti della direttiva ePrivacy e del
GDPR al contesto specifico dell’industria online, tenendo conto degli orientamenti del Comitato europeo per la
protezione dei dati e degli orientamenti a livello nazionale delle autorità di protezione dei dati.

Il TCF è uno standard volontario destinato all’uso da parte di tre categorie di stakeholder (e tutti questi stakeholder
sono invitati a utilizzare il TCF, indipendentemente dal fatto che siano membri di IAB Europe)

1. Editori: proprietari o operatori di contenuti o servizi online in cui i dati personali sono raccolti e utilizzati da
società terze (venditori) per la pubblicità digitale, la misurazione dell’audience o la personalizzazione dei
contenuti.

2. Vendor: società terze che normalmente non hanno accesso diretto agli utenti finali degli editori. I fornitori
possono essere server pubblicitari, fornitori di misurazioni, agenzie pubblicitarie, DSP, SSP e altro ancora.

3. CMP (Consent Management Platform): fornitori di software o soluzioni che sviluppano informative (es.
cookie banner) per informare gli utenti e rilevare le loro preferenze rispetto al trattamento dei loro dati
personali.

Il 16/5/2023 è stata pubblicata la versione 2.2 del TCF, a cui i partecipanti al framework dovevano adeguarsi
entro il 20/11/2023.

Vai al sito di IAB per approfondire la notizia

Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 21

 Secondary use

Il Tribunale di Udine ha annullato il provvedimento

con cui l’Autorità Garante aveva comminato una
sanzione di € 70.000

La sentenza del Tribunale di Udine del 21 settembre 2023 ha annullato un provvedimento assunto dal Garante
nei confronti dell’Azienda Sanitaria Friuli Centrale, il cui tema principale è la liceità del trattamento secondario di
dati sanitari.

Nel caso di specie, l’Azienda sanitaria aveva utilizzato i dati dei pazienti, a suo tempo raccolti per finalità
di diagnosi e cura, per individuare gli assistiti in condizione di particolare complessità e comorbilità, al fine di
agevolare i medici del territorio nell’individuazione dei pazienti più vulnerabili e, di conseguenza, pianificare gli
interventi di vaccinazione nell’ambito del contesto emergenziale pandemico.

Considerati i compiti di pianificazione e programmazione sanitaria e sociosanitaria attribuiti all’Azienda

sanitaria, e tenuto conto delle funzioni attribuitegli nell’ambito dell’emergenza da COVID-19, il trattamento è stato
valutato dal Tribunale compatibile con la finalità di trattamento primaria e, in definitiva, lecito.

Vai al sito del Garante per leggere Provvedimento del 15 dicembre 2022 [9845156]
Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 22

 Osservatorio
Sanzioni Garanti Europei
Sanità

ITALIA - Sanzione di € 30.000 all’ASL Napoli 3

Sud per violazione di dati conseguente ad attacco
malware di tipo ransomware ai sistemi informativi
della stessa
La sanzione di € 30.000 all’ASL Napoli 3 Sud è stata comminata dall’autorità all’esito di un procedimento
avviato su notifica di un data breach a danno dell’Azienda consistito in un attacco informatico determinato da un
malware di tipo ransomware, ai sistemi informativi dell’Azienda.

L’attacco informatico si è evoluto a partire dai primi accessi abusivi da IP estero, tramite VPN, con le credenziali
di personale non tecnico della ASL, disponibili nel dark web. Tali credenziali sono state, poi, utilizzate per ottenere
privilegi di administrator. A seguire, dopo una fase silente, l’attaccante ha proceduto a installare e distribuire il
malware e sono state compromesse le credenziali di amministratori di dominio e lanciata la cifratura dei sistemi.
L’attacco ha avuto come esito la compromissione di numerosi account e la violazione di dati personali di un gran
numero di interessati, tra cui anche i dipendenti. L’ASL ha chiarito che l’attacco informatico non ha compromesso o
interrotto l’erogazione dei servizi sanitari nei confronti dell’utenza.

All’esito dell’istruttoria, l’Autorità ha rilevato l’inadeguatezza delle misure di sicurezza tecniche ed organizzative
adottate dall’ASL, in particolare l’assenza di “un’organizzazione strutturata per la lettura e analisi quotidiana dei
log” e “disponeva di limitatissime risorse tecnologiche e umane”. Non era inoltre presente l’autenticazione a più
fattori per l’accesso alla VPN che avveniva con semplice username e password.

Vai al sito del Garante italiano per leggere il provvedimento del 28 settembre 2023 [9941232]
Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 23

 ITALIA - Sanzione di € 60.000 alla Casa di Cura
Salvator Mundi International Hospital s.r.l per illecito
trattamento di dati inerenti allo stato di salute dei
pazienti dopo il periodo emergenziale

Durante l’emergenza sanitaria, tutte le strutture sanitarie hanno adottato politiche di accesso restrittive sulla base
delle prescrizioni governative a tutela della salute dei pazienti, come ad esempio l’esibizione del green pass

Tuttavia, una volta cessato lo stato di emergenza, la richiesta di esibizione della certificazione verde Covid-19
a tutti i pazienti risulta priva di una idonea base giuridica e viola, quindi, le norme in materia di protezione dei dati
personali.

Questa la motivazione alla base della sanzione di una casa di cura, sanzionata anche per aver posto in essere
un trattamento sanitario differenziato e potenzialmente discriminatorio dei pazienti che non esibivano il green
pass.

Vai al sito del Garante italiano per leggere il provvedimento del 28 settembre 2023 [9946369]
Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 24

 Tempi di conservazione dei dati
nel contesto sanitario

ITALIA - Sanzione di € 50.000 all’AUSL Toscana-

Centro per mancato rispetto del principio di
limitazione della conservazione dei dati

L’Autorità Garante ha ricevuto una segnalazione in cui è stata lamentata una violazione della disciplina in
materia di protezione dei dati personali in relazione alla presenza, nei locali di una struttura sanitaria da anni
dismessa e afferente all’Azienda Usl Toscana centro, di documentazione sanitaria (es. ricette, cartelle cliniche e
radiografie) in stato di abbandono e accessibile a chiunque (documentazione video acquisita in atti) cui avevano
avuto accesso terzi non autorizzati, nonostante il servizio di vigilanza.

L’Autorità ha avviato un’istruttoria volta a verificare in maniera approfondita la vicenda, dalla quale è emerso
che documenti sanitari, incluse radiografie riportanti dati anagrafici e risalenti a trent’anni fa, erano lasciati in
stato di abbandono, nonostante fosse trascorso il termine di conservazione previsto dalla legge. Nonostante le
dichiarazioni dell’AUSL che riteneva insussistente un rischio per i diritti e le libertà degli interessati, l’Autorità ha
invece rinvenuto tale rischio e sanzionato l’Azienda per violazione:

• dei principi di limitazione della conservazione e di trasparenza;

• dell’obbligo di adozione di misure di sicurezza adeguate a proteggere gli interessati;

• del principio di esattezza, integrità e riservatezza dei dati, considerato lo stato di conservazione dei
documenti.

La sanzione è stata determinata nell’importo di €50.000.

Vai al sito del Garante italiano per leggere il Provvedimento del 28 settembre 2023 [9946386]
Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 25

 Lavoro

ITALIA - Sì all’accesso del dipendente ai dati

geolocalizzazione

Il Garante privacy ha comminato una sanzione di 20mila euro a una società che si occupa della lettura dei
contatori di luce, acqua e gas, per non aver dato idoneo riscontro alle istanze di accesso ai dati di tre dipendenti.
I tre lavoratori avevano avanzato istanza di accesso ai dati utilizzati per elaborare i rimborsi chilometrici e la
retribuzione mensile oraria, nonché la procedura per la commisurazione del compenso, proprio al fine di verificare
la correttezza della propria busta paga.

In particolare, richiedevano di conoscere i dati raccolti mediante lo smartphone aziendale sul quale era stato
istallato un sistema di geolocalizzazione che permetteva agli operatori di individuare il tragitto da effettuare per
raggiungere i contatori. Non avendo ricevuto idoneo riscontro, i dipendenti hanno avanzato un reclamo dinanzi
all’autorità Garante privacy.

Nel corso dell’istruttoria, l’Autorità ha in effetti accertato che la società titolare del trattamento non aveva fornito
un riscontro idoneo a quanto richiesto dai reclamanti, nonostante tali richieste fossero chiare e specifiche, senza
neppure comunicare loro i dati trattati attraverso il sistema GPS. Inoltre, la Società di è limitata a fornire informazioni
solo generali sul trattamento di dati svolto, mentre l’art. 15 del GDPR richiede che tali informazioni siano specifiche
e pertinenti alle richieste avanzate.

La violazione normativa è costata alla Società € 20.000.

Vai al sito del Garante italiano per leggere il Provvedimento del 14 Settembre 2023 [9936174]
Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 26

 Diritti degli interessati

FRANCIA - L’Autorità francese ha comminato una

sanzione di € 600.000 al GRUPPO CANAL+ per
violazione diritti interessati
L’Autorità Garante francese (“CNIL”) ha ricevuto numerose segnalazioni riguardanti le difficoltà incontrate dai
privati nel far valere i loro diritti nei confronti del GRUPPO CANAL+, editore di canali e distributore di offerte
televisive a pagamento.

All’esito del procedimento avviato, l’Autorità ha rilevato molteplici violazione del GDPR:

• inosservanza dell’obbligo di ottenere il consenso delle persone fisiche per ricevere prospezione commerciale
per via elettronica;

• mancata informazione sul trattamento dei dati e mancata gestione dei diritti in materia di protezione dei
dati;

• mancata sottoscrizione di un contratto o altro atto giuridico per il trattamento effettuato da un responsabile
del trattamento;

• mancata garanzia di adeguati parametri di sicurezza dei dati personali;

• inadempimento dell’obbligo di notificare alla CNIL una violazione dei dati.

Le violazioni hanno comportato per il Gruppo una sanzione di € 600.000.

Vai al sito dell’EDPB per leggere la decisione

Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 27

 ITALIA - Sanzione per mancato riscontro a
interessato

Il Garante ha sanzionato una struttura sanitaria per la scorretta gestione dei dati personali di un paziente, sotto
diversi profili.

In particolare, la società ha: trattato alcuni dati del reclamante (data di nascita e codice fiscale) in violazione del
principio di esattezza; inviato il referto riguardante l’esito dell’esame clinico effettuato dall’interessato all’indirizzo
email di un terzo, non autorizzato; infine, non ha risposto alle istanze di esercizio dei diritti dell’interessato.

In considerazione del fatto che si sia trattato di un episodio isolato causato da un errore materiale di trascrizione,
e tenuto conto del contesto (periodo emergenziale Covid), la sanzione comminata dal Garante è pari ad €
10.000.

Vai al sito del Garante italiano per leggere il Provvedimento del 31 agosto 2023 [9938463]
Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 28

 Diffusione e comunicazione
illecita di dati sanitari

ITALIA - Sanzione di € 5.000 ad un singolo medico

per aver ocmunicato dati sanitari di un paziente ad
una società in assenza di consenso

Un paziente ha segnalato al Garante che il proprio medico ha comunicato informazioni sul suo stato di salute
ad un soggetto terzo.

Più precisamente, a seguito di una visita il medico inviava al paziente una mail con allegato il relativo referto,
composto da n. 4 pagine e contenente una serie di dati, di tracciati, nonché le conclusioni, le diagnosi e i commenti.
Senza alcun consenso del paziente, il medico inseriva in copia conoscenza una società attiva, tra l’altro, nel
commercio di ventilatori meccanici.

La giustificazione del medico, secondo cui vi era urgente necessità di ricorrere ad un ventilatore per la cura della
patologia del paziente, non è stata ritenuta sufficiente ad evitare la comminazione al medico di una sanzione di
€ 5.000.

Vai al sito del Garante italiano per leggere il Provvedimento del 28 settembre 2023 [9946712]
Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 29

 Marketing

SVEZIA - L’Autorità Svedese (IMY) emette una

sanzione amministrativa contro H&M per aver reso
difficile evitare il marketing

Il Garante Privacy svedese (IMY) ha sanzionato la catena di abbigliamento H&M per non aver gestito
correttamente le richieste di persone che non desiderano ricevere marketing.

L’Autorità svedese ha condotto un’indagine a seguito di sei reclami da parte di persone che si sono opposte a
ricevere pubblicità diretta. Secondo l’IMY, l’azienda ha violato il GDPR continuando a trattare i dati personali dei
reclamanti per fini di marketing nonostante la loro opposizione.

All’esito delle verifiche è emerso che l’azienda non aveva sistemi adeguati a facilitare l’esercizio del diritto
di opposizione al marketing diretto da parte dei reclamanti. La sanzione comminata dall’azienda ammonta a
350.000 corone svedesi.

Vai al sito dell’EDPB per leggere la sanzione

Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 30

 ITALIA - Sanzione di € 70.000 a Società per illecità
attività di marketing

L’Autorità ha ricevuto alcune doglianze (segnalazioni e reclami) degli interessati con le quali è stata lamentata
la ricezione di diverse telefonate indesiderate effettuate per la promozione del marchio “Caffè Scionti” e su utenze
per lo più iscritte al Registro Pubblico delle Opposizioni.

Dall’istruttoria, è emerso che le modalità di raccolta dei contatti telefonici per finalità di marketing hanno
riguardato utenze reperite mediante digitazione casuale di numeri telefonici, passaparola dei clienti e modalità
inbound.

L’Autorità ha pertanto confermato che l’avvenuta violazione dei principi di protezione dei dati per non aver
acquisito il previo consenso degli interessati né per aver reso a quest’ultimi, in occasione delle suddette telefonate,
la necessaria informativa in ordine al trattamento dei dati. Anche con riferimento ai dati personali acquistati dalla
società da list provider, è emerso che la società non ha verificato la sussistenza di idonea base giuridica per il
trattamento di tali dati di contatto.

L’Autorità ha comminato una sanzione di € 70.000.

Vai al sito del Garante italiano per leggere il Provvedimento del 12 ottobre 2023 [9949453]
Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 31

 EUROPA - Decisione urgente e vincolante dell’EDPB
sul trattamento dei dati personali per la pubblicità
comportamentale di Meta

Il contratto non è una base giuridica adeguata per il trattamento dei dati personali effettuato per la pubblicità
profilata.

Questo il motivo per cui Meta è stata nuovamente oggetto di attenzione da parte dell’EDPB.

Dopo la richiesta dell’autorità garante norvegese di adottare misure definitive con effetto in tutto lo spazio
economico europeo (SEE), il 27 ottobre l’EDPB si è attivato adottando una decisione vincolante urgente che
incarica l’autorità irlandese (in qualità di autorità di controllo principale) di adottare misure definitive nei confronti
di Meta Ireland Limited e di imporre un divieto di trattamento dei dati personali per la pubblicità profilata sulle basi
giuridiche del contratto e del legittimo interesse in tutto il SEE.

Vai al sito dell’EDPB per approfondire la notizia

Link

| RIVISTA IL MIO DPO | ANNO 5 NR 5 32

 IL TEAM PRIVACY
avv. Silvia Stefanelli
s.stefanelli@studiolegalestefanelli.it
Silvia Stefanelli è avvocato cassazionista, fondatore dello Studio Legale Stefanelli&Stefanelli. Esperta di diritto
sanitario, con particolare competenza in ambito di sanità digitale, medical device, pubblicità sanitaria, contratti
con la PA, protezione dei dati.
Nel 2016 ha conseguito il titolo di “Privacy Officer e Consulente della Privacy” e nel 2017 il certificato “Course
on European Data Protection Law” rilasciato all’Academy of European Law di Bruxelles. Segue molti progetti di
sviluppo innovativi in sanità legati all’uso delle nuove tecnologie.
Collabora con la Fondazione SmithKline a diversi progetti nazionali in ambito di Digital Therapeutics. Svolge il
ruolo di Legal Team Leader nelle pubblicazioni della Associazione Clusit. E’ membro del Comitato Scientifico
dell’Osservatorio di Telemedicina di Altems- Unicatt.
E’ docente in Master di II livello di diverse università, tra cui Università di Roma3, Unitelma La Sapienza, Altems
Cattolica. Tiene corsi a livello nazionale per numerosi enti di formazione tra cui Il Sole 24 ore e IQVIA.
Dal 2005 è iscritta all’Albo dei Pubblicisti dell’Ordine dei Giornalisti di Bologna. Collabora con diverse riviste di
settore, tra cui AboutPharma, Il Sole 24 Ore Sanità e Quotidiano Sanità.
E’ coautrice di pubblicazioni e numerosi contributi collettivi, da ultimo “La Privacy in sanità” – Giuffrè 2020.

avv. Eleonora Lenzi

e.lenzi@studiolegalestefanelli.it
L’avvocato Eleonora Lenzi si occupa principalmente di diritto delle imprese ed ha maturato una significativa
esperienza in materia di contrattualistica nazionale ed internazionale, tutela della proprietà intellettuale ed
industriale, tutela della riservatezza.
Esperta di compliance aziendale, in particolare D.Lgs. 231/2001 e Reg. UE 2106/679 sulla protezione dei
dati personali, assiste le imprese ed i professionisti nell’analisi e nell’adeguamento dei processi interni. Collabora
e presta la propria consulenza nella creazione di network di imprese, nell’implementazione di market place e
website.

Le competenze descritte sono state acquisite prevalentemente in seguito a collaborazioni con realtà attive nel
settore sanitario o dei medical device.
 IL TEAM PRIVACY
avv. Maria Livia Rizzo
ml.rizzo@studiolegalestefanelli.it
L’avvocato Maria Livia Rizzo svolge attività di consulenza legale stragiudiziale nel settore sanitario pubblico e
privato nell’ambito della protezione dei dati personali – con focus su e-health, stampa 3D e dispositivi medici ad
alto contenuto tecnologico – e della compliance 231. Laureata in Giurisprudenza presso l’Università di Bologna
con il massimo dei voti, ha conseguito un Dottorato di ricerca in Diritto e Nuove Tecnologie presso il CIRSFID
(Università di Bologna) dove ha svolto attività di ricerca come Assegnista e ricoperto il ruolo di Tutor didattico del
Master in Trattamento dei dati personali e Privacy Officer.
Titolare del Modulo didattico “Regulatory and economic aspects” (SSD IUS/10) del Master in Innovation in
eXtended Reality (MIXR) dell’Università di Bologna A.A. 2019/2020.
È stata Cultrice della materia in Informatica Giuridica e in Medicina Legale presso la Scuola di Giurisprudenza
dell’Università di Bologna ed è Peer reviewer del Journal of Medical Ethics – British Medical Journal.
Ha svolto docenze in Corsi di Dottorato di ricerca, Master universitari e Corsi di Laurea in varie Università italiane,
ha partecipato a roundtable presso il Joint Research Centre della Commissione Europea ed è stata relatrice in
conferenze organizzate da Università, Associazioni, Camere di Commercio, Aziende, e Strutture sanitarie. Ha
tenuto numerosi interventi su tematiche legali in eventi dedicati ai settori tecnologico e sanitario.
È autrice di pubblicazioni su riviste scientifiche e volumi collettanei, oltre che di contributi di carattere divulgativo.
È Socio Fondatore e Segretario dell’Associazione italiana di Stampa 3D in Medicina IDBN (Italian Digital
Biomanufacturing Network) e componente del Comitato scientifico della I e II edizione del relativo Congresso
Nazionale.

avv. Maddalena Collini

m.collini@studiolegalestefanelli.it
Dopo aver conseguito il diploma di laurea presso l’Università degli Studi di Trento, l’avvocato Maddalena Collini
si è occupata di diritto fallimentare, specializzandosi poi nel diritto civile. In particolare, ha maturato esperienza
nell’ambito della responsabilità professionale, del recupero crediti, delle procedure esecutive, anche nel vigore
del sistema tavolare.
Oggi l’avv. Collini collabora con lo Studio Legale Stefanelli&Stefanelli nel settore privacy, svolgendo attività
di consulenza legale stragiudiziale in materia di protezione dei dati personali ed affiancando i clienti nella
progettazione privacy by design e nell’implementazione di sistemi di gestione del dato.
Collabora dal 2015 con la cattedra di Diritto Tributario presso l’Università degli Studi di Trento.
 IL TEAM PRIVACY
avv. Federica Pucarelli
f.pucarelli@studiolegalestefanelli.it
Dopo aver conseguito la laurea in giurisprudenza presso l’Alma Mater di Bologna, l’avvocato Federica Pucarelli ha
conseguito il “Master di Specializzazione di I livello in Trattamento dati personali e Privacy Officer” presso il Cirsfid
– Alma Mater Studiorum dell’Università di Bologna che le ha consentito di maturare conoscenze specialistiche in
materia di compliance alla normativa di protezione dei dati personali.
Fin dal suo ingresso nello Studio Legale Stefanelli & Stefanelli, svolge attività di consulenza legale nell’ambito della
protezione dei dati personali, in particolare in ambito sanitario e giuslavoristico. Fornisce assistenza alle aziende
per l’implementazione di sistemi di gestione dei dati, per l’analisi by design dei trattamenti dati, mappatura dei
processi aziendali, redazione e verifica delle procedure organizzative e svolge anche l’incarico di ufficio privacy
esternalizzato.

avv. Giorgia Verlato

g.verlato@studiolegalestefanelli.it
Dopo aver conseguito la laurea in giurisprudenza presso la facoltà dell’Alma Mater di Bologna, l’avvocato Giulia
Verlato ha ottenuto il Master in diritto sanitario della Scuola di Specializzazione in Studi sull’Amministrazione
Pubblica (SPISA).
Nella sua formazione professionale si è occupata di diritto sanitario collaborando con l’ufficio legale dell’Azienda
Universitaria Policlinico Sant’Orsola di Bologna, nonché con Studi Legali esperti della materia.
E’ referente per il settore sanità dello Studio Legale Stefanelli&Stefanelli e si occupa di consulenza e assistenza
giudiziale e stragiudiziale in materia di autorizzazioni, accreditamento e gestione delle attività sanitarie, oltre che
di assistenza nei procedimenti disciplinari avanti agli Ordini Professionali.
Svolge attività di consulenza in materia di diritto farmaceutico, in particolare riguardo la produzione,
commercializzazione e dispensazione dei farmaci.
L’avvocato Verlato fornisce anche assistenza legale in ambito di privacy e protezione dei dati alle strutture sanitarie,
lavorando in particolare modo con le strutture odontoiatriche, e segue alcuni aspetti di pubblicità sanitaria.