Open data e diffusione accidentale di dati personali

Finchè gli avvertimenti e i suggerimenti del ICO e delle Associazioni a tutela del diritto alla riservatezza rimarranno inascoltati, continueranno verificarsi un numero crescente di gravi violazioni della legge sulla protezione dei dati.

Il 23 agosto, è emerso ad un Comune del Regno Unito è stata comminata una sanzione di 70.000 sterline per aver pubblicato online i dati personali di più di 2.000 residenti. Tale divulgazione non intenzionale e potenzialmente dannosa è stata, apparentemente, causata da una mancanza di consapevolezza dei pericoli connessi con la ‘disclosure’ di alcuni ‘data set’ senza una previa verifica se questi contenessero dati nascosti.

Da un po’ di tempo, circolano diverse relazioni che documentano fatti analoghi in relazione alla divulgazione involontaria di dati personali da parte di autorità pubbliche intenzionate a pubblicare i dati reputandoli anonimi o aggregati.

Questi incidenti sono legati alle richieste di ostensione di informazioni nell’ambito della libertà di informazione, promosse, tra l’altro, dall’Agenda che il Governo si è data in materia di trasparenza (nell’ambito del UK Freedom of Information Act).

Il Garante del Regno Unito (lo ICO - Information Commissioner's Office), si è espresso su questo argomento ma, evidentemente, non in maniera abbastanza efficace né sufficientemente pubblicizzata (spesso per comunicare viene usato il blog del ICO, che viene letto soprattutto da addetti ai lavori).
L'ICO e le amministrazioni pubbliche devono affrontare quello che sembra essere un rischio serio e crescente di diffusione "abusiva" (ovvero non supportata da consneso o da obblighi di legge) di dati personali dei cittadini.

Tra l’altro, errori di divulgazione come questi integrano gravi infrazioni del Data Protection Act e possono essere puniti con sanzioni fino a 500.000 £.

L' ICO deve lavorare con il governo per offrire una consulenza diretta ai top manager, specie nell’ambito del NHS (dunque in ambito sanitario).

Benchè ad oggi, questi errori nell'ambito del trattamento dei dati non sembrino aver portato a nuocere agli interessati le cui informazioni siano state compromesse, sembra che si tratti solo di una questione di tempo.

Queste le considerazioni di Jonathan Baines (Secretary-elect della NADPO - ) sul sito The Guardian.

Comments

Open data e trasparenza: consultazione on line sulle nuove linee guida del patrimonio pubblico in Italia scadenza 9 ottobre

Le nuove linee guida 2016 per la valorizzazione del patrimonio informativo delle pubbliche amministrazioni: al via la consultazione pubblica C’è tempo fino al 9 ottobre per partecipare alla consultazione pubblica sulle nuove “Linee guida per la valorizzazione del patrimonio informativo delle pubbliche amministrazioni” che aggiornano le linee guida pubblicate nel 2014. Rispetto al precedente documento, le linee guida 2016 vogliono essere uno strumento di lavoro di ancora più facile lettura con risposte, suggerimenti organizzativi e azioni pratiche da fare per ottimizzare gli sforzi fatti finora. Secondo le nuove linee guida, sarà più facile per le pubbliche amministrazioni: strutturare una architettura dei dati pubblici, pubblicare dati di qualità, secondo gli standard ISO/IEC 25012 e 25024, avere indicazioni utili per le licenze open di riferimento, nonché un modello organizzativo per avere una gestione dei dati ageduata agli obiettivi dell’agenda digitale italiana ed europea. ...

continua a leggere

IL BEL 'PAESONE' COSTRINGE IL GARANTE A METTERE DEI PALETTI ALL'ATTIVITA' DI INQUIRY SELVAGGIO IN AMBITO BANCARIO

Scorrendo il provvedimento del 12 maggio (prescrizioni in materia di circolazione delle informazioni in ambito bancario) e le motivazioni che hanno spinto l’Ufficio del Garante ad adottare un simile provvedimento, sembra di ritornare improvvisamente alla prima metà del secolo. Precisamente, sembra di ritornare a quando le rivelazioni degli adolescenti nel segreto del confessionale venivano riferite ai genitori affinchè adottassero le opportune “contromisure” educative. In una delle occasioni oggetto di reclamo al Garante, un cittadino (provvedimento del 28 maggio 2009) ha lamentato l'illecita comunicazione al proprio padre, di informazioni bancarie a sé riferite da parte della filiale di Intesa SanPaolo. Tale comunicazione sarebbe avvenuta a seguito della convocazione del padre dell’interessato presso l'istituto bancario – per il tramite della polizia municipale del comune di residenza –, il quale, "messo a conoscenza di una grave situazione debitoria in capo al figlio, co...

continua a leggere

Trattamento dati personali in un'epidemia, indicazioni per i datori di lavoro

Quello che segue è un estratto della dichiarazione del CEPD del 19 marzo 2020. Comitato europeo per la protezione dei dati - EDPB Estratto della “Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19” Adottata il 19 marzo 2020 [...] 1.2 Nel contesto lavorativo , il trattamento dei dati personali può essere necessario per adempiere un obbligo legale al quale è soggetto il datore di lavoro, per esempio in materia di salute e sicurezza sul luogo di lavoro o per il perseguimento di un interesse pubblico come il controllo delle malattie e altre minacce di natura sanitaria. Il RGPD prevede anche deroghe al divieto di trattamento di talune categorie particolari di dati personali, come i dati sanitari, se ciò è necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica (articolo 9.2, lettera i), sulla base del diritto dell'Unione o nazionale, o laddove vi sia la necessità di proteggere gli interessi vitali del...

continua a leggere

il blog di Riccardo Abeti

Search This Blog