Dernières actualités : données personnelles

GPDP (autorité italienne)

 Italie : Des procédures de sanction contre 18 régions et 2 provinces autonomes en cours pour des difficultés en lien avec le dossier médical 2.0 (« FSE 2.0 »)

Dans sa newsletter du 26 juin, l’autorité italienne a annoncé que des procédures concernant le dossier médical 2.0 avaient été ouvertes à l’encontre de 18 régions et 2 provinces autonomes (à savoir quasiment toute l’Italie). L’autorité a même indiqué qu’ « Il est urgent d’agir pour protéger les droits de tous les patients italiens concernés par le traitement des données sanitaires effectué par le biais du dossier médical électronique 2.0. , et que cette situation grave a été signalée au Premier ministre et au ministre de la santé ces derniers jours ».

Les résultats de l’activité d’enquête sur le FSE, qui avait commencé à la fin du mois de janvier, ont montré que 18 régions et les deux provinces autonomes du Trentin-Haut-Adige – n’étant pas en ligne avec le contenu du décret du 7 septembre 2023 – avaient modifié, même de manière significative, le modèle d’information préparé par le ministère, soumis à l’avis de l’autorité, qui aurait dû être adopté dans tout le pays. Les divergences constatées ont mis en évidence que certains droits (ex. blackout, proxy, consentement spécifique) et mesures (ex. mesures de sécurité, niveaux d’accès différenciés, qualité des données) introduits par le décret, précisément pour la protection des patients, ne sont pas garantis de manière uniforme sur l’ensemble du territoire. Ou bien ils ne peuvent être exercés et appliqués par les patients que dans certaines régions et provinces autonomes, ce qui peut avoir un effet discriminatoire important sur les patients.

Selon l’autorité, ce manque d’homogénéité est également en contradiction avec l’esprit de la réforme du FSE 2.0 visant à introduire des mesures, des garanties et des responsabilités homogènes dans tout le pays, risquant ainsi de compromettre la fonctionnalité, l’interopérabilité et l’efficacité du système FSE 2.0. Les violations commises par les Régions et les Provinces autonomes, avec différents niveaux de gravité et de responsabilité, peuvent conduire à l’application des sanctions prévues par le Règlement européen.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

GPDP (autorité italienne)

Covid : L’autorité italienne ouvre une enquête sur l’interdiction, par une autorité sanitaire locale, de recruter des stagiaires non vaccinés

Ce 12 juin 2024, à l’occasion d’un communiqué de presse, l’autorité italienne a annoncé avoir ouvert une enquête afin de faire suite à l’information selon laquelle certains stagiaires se sont vus refuser l’accès à l’hôpital parce qu’ils n’avaient pas reçu la quatrième dose du vaccin anti-Covid.  Selon un article de presse, les étudiants du cours d’infirmière de l’université de Salento qui n’ont pas reçu la quatrième dose de vaccin Sars-Cov-2 n’auraient pas pu effectuer leur stage obligatoire à l’hôpital.  Toujours dans la presse, l’autorité sanitaire locale de Lecce aurait justifié ce refus en se fondant sur une loi régionale réglementant la vaccination obligatoire des travailleurs de la santé.

L’autorité italienne demande ainsi des comptes à l’autorité sanitaire locale, lui donnant 15 jours pour informer la Garante des finalités et de la base légale du traitement. En effet, depuis le 1er novembre 2022, l’obligation de vaccination Covid n’est plus requise en Italie pour les professionnels de la santé et les travailleurs de la santé.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

AEPD (autorité espagnole)

Geopost condamnée à une amende de 55 000€ pour avoir laissé un avis de passage à la vue de tous

Le 6 juin 2024, la société Geopost (filiale du groupe La Poste) a été condamnée à une amende totale de 55 000 euros, sur le fondement des articles 5 et 32 du RGPD, pour ne pas avoir suffisamment assuré la confidentialité et la sécurité des données à caractère personnel d’une personne concernée. Cette affaire commence de manière très banale : un particulier a commandé un colis sur Amazon et, n’étant pas chez lui le jour de la livraison, a demandé au géant américain de changer l’adresse de la livraison afin de s’assurer de recevoir son colis.  Néanmoins, cela n’a pas été pris en compte à temps, ce particulier ayant, un peu plus tard, « appris par des membres de sa famille qui passaient par là qu’un livreur  avait laissé une étiquette sur l’extérieur de la boîte aux lettres de son domicile, visible par tout voisin ou visiteur de la propriété, indiquant ses données personnelles, à savoir ses nom et prénom, son adresse postale, ainsi que son numéro de téléphone. Cette étiquette a été affichée dans un lieu de transit jusqu’au 6 septembre 2022, date à laquelle elle a été retirée.  » Peu de temps après, cette personne a décidé de déposer une plainte auprès de l’AEPD, et l’enquête a permis à l’autorité d’établir la véracité de ces déclarations, et notamment des différentes pièces et photographies jointes au dossier.

L’AEPD estime que cette circonstance, selon laquelle le défendeur est une entité qui gère un volume important de livraisons et d’enlèvements de colis de clients dont les données personnelles sont systématiquement traitées dans l’exercice de ses fonctions, détermine un degré plus élevé d’exigence et de professionnalisme et, par conséquent, de responsabilité de l’entité en ce qui concerne le traitement des données à caractère personnel. De son côté, Geopost admettait que « pour la seule année 2021, le volume traité a été de plus de 50 millions de livraisons et d’enlèvements » mais, elle considère que ces faits sont la faute professionnelle du chauffeur-livreur qui n’a pas suivi les protocoles internes, ne s’apparente pas à un fonctionnement normal. Geopost estimait ainsi avoir pris des mesures organisationnelles adéquates et suffisantes.
Ces arguments n’ont toutefois pas convaincu l’AEPD, qui a décidé de condamner la société à une amende de 55 000 euros.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

GPDP (autorité italienne)

La vérification d’un vaccin non obligatoire ne justifie pas le traitement de données de santé

Dans un communiqué de presse publié ce 28 mai 2024, l’autorité italienne annonce avoir envoyé une demande d’information à la région des Pouilles sur le projet de loi introduisant l’obligation pour les élèves des collèges, lycées et universités de présenter un certificat de vaccination contre le virus du papillome (HPV) pour s’inscrire aux cours de formation correspondants, rappelant au passage que le règlement européen établit une interdiction générale de traitement des données de santé, sauf dérogations spécifiques.  L’autorité souligne également que, sur la base de la législation sectorielle, le certificat de vaccination ne peut être demandé par le personnel de l’école que dans les cas de vaccinations obligatoires.

L’autorité annonce enfin que « compte tenu de la sensibilité particulière de l’initiative, qui concerne également des élèves mineurs, la Garante a donc invité la Région à fournir, dans un délai de 30 jours, toute information utile à l’appréciation du dossier ».

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduire de manière automatisée

Retour en haut