Ve la ricordate l'applicazione #Covidhealer di #Stramezzi? Come è finita? Beh, molto male e il @GPDP_IT l'ha definita illecita molti mesi fa. Anche se si è venuto a sapere solo ora:
garanteprivacy.it/web/guest/home…
@GPDP_IT Tralasciando la premessa del dispositivo e l'istruttoria, che potete leggere nel link allegato, in poche parole l'applicazione aveva in se un numero molto elevato di violazioni della privacy 1/7
Vedendosi messa alle strette, e nel tentativo di non prendere multe elevatissime, l'associazione (che è vissuta sostanzialmente un mese) ha proposto una memoria difensiva e un numero elevato di correttivi, collaborando con il garante 2/7
Intanto ha cercato di individuare i ruoli privacy, una delle principali problematiche della applicazione.
Ha cercato, inoltre, nella sua memoria difensiva, di spiegare le basi giuridiche del trattamento 3/7
Ha inoltre prodotto e cercato di collaborare sull'informativa agli interessati, sulla valutazione d'impatto (fondamentale in questi casi) e sul registro delle attività di trattamento molto carenti 4/7
C'è stata una audizione presso il Garante in cui l'associazione ha dichiarato l'intenzione di riprendere l'utilizzo della stessa quando pienamente conforme alla disciplina e che nessuno ha fatto segnalazioni o lamentele in ordine al trattamento dei dati 5/7
Come in molti casi simili, oltre a dichiarare la propria buona fede è stata prodotta una documentazione integrativa a propria difesa. 6/7
Questa la premessa della attività difensiva della associazione: come è finita allora? 7/7
Le violazioni: L’attività istruttoria e il procedimento avviato dall’Ufficio, ai sensi dell’art. 166, comma 5, del Codice, hanno riguardato il trattamento dei dati personali effettuato dall’Associazione attraverso l’applicazione mobile C-Healer 1/10
In prima battuta l’Ufficio ha contestato la violazione dell’art. 5, par. 1, lett. a) del Regolamento, il quale prevede il rispetto del principio di liceità, in base al quale ogni trattamento di dati personali deve fondarsi su uno specifico presupposto giuridico. 2/10
Dalla documentazione in atti emerge che il consenso richiesto ai pazienti non sarebbe comunque conforme ai requisiti previsti dalla disciplina in materia di protezione dei dati personali 3/10
in quanto l’interessato che intendeva scaricare l’App, oltre ad inserire alcuni iniziali dati personali , si trovava costretto, con un unico tasto di accettazione, anche a prendere visione e ad accettare tout court sia i termini d’uso dell’Applicazione che l’informativa 4/10
L’evidenza delle violazioni emerge anche con riferimento alla circostanza che l’Associazione nel corso del procedimento ha messo in atto una serie di misure correttive proprio al fine di rendere i trattamenti conformi al quadro normativo in materia di protezione dati 5/10
I dati personali devono essere trattati nel rispetto del principio di trasparenza (art. 5, par. 1 lett. a) del Regolamenti), fornendo preventivamente agli interessati -in caso di dati raccolti direttamente presso di essi- le informazioni di cui all’art. 13 del Regolamento. 6/10
Sulla base dei non condivisibili presupposti secondo cui i trattamenti in questione non comportassero la sussistenza di alti o elevati rischi per i diritti e le libertà degli utenti-interessati e non potesse ritenersi configurato neppure il requisito della “larga scala”7/10
Il registro delle attività di trattamento (art. 30 del Regolamento), rende evidente come sia stato predisposto dall’Associazione solo dopo che il trattamento ha avuto inizio, e quindi tardivamente e pertanto in violazione dello stesso articolo 8/10
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria gli elementi forniti dal titolare del trattamento nella memoria difensivanon consentono di superare gran parte dei rilievi notificati dall’Ufficio 9/10
Viene dunque considerata illecita e viene somministrata una sanzione di 500 euro (piccola ma solo grazie alla fattiva collaborazione che ha evitato una sanzione di 20.000 euro) 10/10
Conclusione: l'applicazione è assolutamente illecita e viola la privacy ed una serie di vulnus per quello che riguarda il trattamento dei dati personali, come avevamo precedentemente spiegato, confermando la nostra tesi
Come sempre il dentista aveva dichiarato che la questione fosse stata superata brillantemente pagando 250 euro ed omettendo che l'applicazione fosse stata dichiarata illecita.
Ennesima brutta storia di questa pandemia
La questione è stata tenuta sotto silenzio per molti mesi, omettendo l'esito dell'istruttoria e trovarla non è stato facile. Grazie a un utente di twitter sono riuscito a diffonderne il disposto grazie a @prevenzione
Definirlo un "piccolo errore formale" è vergognoso
Share this Scrolly Tale with your friends.
A Scrolly Tale is a new way to read Twitter threads with a more visually immersive experience.
Discover more beautiful Scrolly Tales like this.