Gesundheitswesen: Garant verhängt Geldstrafen gegen drei lokale Gesundheitsbehörden in Friaul wegen Verwendung des Algorithmus

Der Datenschutzgarant hat gegen drei lokale Gesundheitsbehörden in Friaul Sanktionen verhängt, die mithilfe von Algorithmen die Patienten in Bezug auf das Risiko, im Falle einer Covid-19-Infektion Komplikationen zu haben oder nicht, einzustufen.

Die örtlichen Gesundheitsbehörden hatten die in den Unternehmensdatenbanken vorhandenen Daten mit dem Ziel verarbeitet, geeignete medizinische Initiativen für die Patienten zu aktivieren und rechtzeitig die am besten geeigneten diagnostischen und therapeutischen Wege zu ermitteln.

Bei der Untersuchung der Behörde, die einem ärztlichen Gutachten vorausging, stellte sich heraus, dass die Daten der Patienten in Ermangelung einer geeigneten Regulierungsgrundlage verarbeitet worden waren, ohne den Betroffenen alle notwendigen Informationen (insbesondere zu den Methoden) zur Verfügung zu stellen und Zwecke der Verarbeitung) und ohne zuvor die von der EU-Datenschutzverordnung geforderte Folgenabschätzung durchgeführt zu haben.

Die Behörde bekräftigte, dass die Profilerstellung des Nutzers des Gesundheitsdienstes, ob regional oder national, eine automatisierte Verarbeitung personenbezogener Daten mit dem Ziel bedingt, die Entwicklung der Gesundheitssituation des einzelnen Patienten und die mögliche Korrelation mit anderen klinischen Elementen zu analysieren und vorherzusagen Risiko, kann nur bei Vorliegen einer geeigneten Regelungsgrundlage, unter Beachtung konkreter Anforderungen und ausreichender Garantien für die Rechte und Freiheiten der Beteiligten, die im konkreten Fall fehlen, durchgeführt werden.

Nachdem der Bürge die Verstöße festgestellt und festgestellt hatte, dass im konkreten Fall die Operationen mithilfe von Algorithmen Daten über den Gesundheitszustand einer großen Anzahl von Patienten erfasst hatten, verurteilte er jedes der drei Unternehmen zur Zahlung einer Geldstrafe von 55.000 Euro und fahren Sie mit dem Löschen der verarbeiteten Daten fort.

________

NOTIZ

* Mit Urteil vom 21. September 2023 hat das Gericht von Udine die Bestimmung des Bürgen vom 15.12.2022, Nr. 1, für nichtig erklärt. 416. Der Tenor
des Satzes wird unten veröffentlicht .

„Im Namen des italienischen Volkes entscheidet das Gericht von Udine in monokratischer Besetzung endgültig über alle gegenteiligen Anträge, Ausnahmen und unberücksichtigten Abzüge wie folgt:

1) nimmt die Berufung an und hebt damit den einstweiligen Verfügungsbeschluss Nr. auf. 416 vom 15.12.2022, herausgegeben vom Garanten für den Schutz personenbezogener Daten gemäß Art. 18 L. n. 689/1981, bekannt gegeben am 30.12.2022;

2) weist den Garanten für den Schutz personenbezogener Daten an, das Urteil in seiner Gesamtheit (Entscheidung und Begründung) auf eigene Kosten und durch Kommunikation auf seiner institutionellen Website zu veröffentlichen;

3) verurteilt den Garanten für den Schutz personenbezogener Daten zur Erstattung der Rechtskosten zugunsten des Beschwerdeführers AZIENDA SANITARIA FRIULI CENTRALE in Höhe von insgesamt 7.093,00, davon 6.307,00 Euro für Honorare, 786,00 Euro für Auslagen (Einheitsbeitrag und Marke). ), zusätzlich zu 15 % für die pauschale Erstattung der allgemeinen Kosten, der Mehrwertsteuer und der CPA gemäß den gesetzlichen Bestimmungen, sofern diese fällig sind.

Whistleblowing: Ja vom Datenschutzgaranten zur Umsetzung der EU-Richtlinie

Befürwortende Stellungnahme des Datenschutzgaranten zum Entwurf eines Gesetzesdekrets zur Umsetzung der Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates, der sogenannten. Whistleblowing-Richtlinie.

Der Dekretentwurf fasst die Regelungen zum Schutz von Personen, die Verstöße gegen Vorschriften, einschließlich solcher im Zusammenhang mit dem Datenschutz, melden, von denen sie am öffentlichen oder privaten Arbeitsplatz Kenntnis erlangen, in einem einzigen Regelungstext zusammen. Streitigkeiten oder Ansprüche persönlicher Natur in einzelnen Arbeits- oder öffentlichen Beschäftigungsverhältnissen sowie Meldungen über Verstöße im Zusammenhang mit der nationalen Sicherheit oder Beschaffung im Zusammenhang mit Aspekten der Verteidigung oder der nationalen Sicherheit sind vom Anwendungsbereich des Dekrets ausgenommen.

Der Entwurf des Gesetzesdekrets berücksichtigt nahezu alle Hinweise, die die Behörde der Regierung im Rahmen der Vorarbeiten zur Ausarbeitung des aktuellen Textes vorgelegt hat, insbesondere im Hinblick auf den Begriff der Verletzung, die Verbesserung der Geheimhaltungspflichten und die Überarbeitung des Höchstmaßes Aufbewahrungsfrist der Dokumentation.

Die Regelung schreibt vor, dass der Meldekanal die absolute Vertraulichkeit des Meldenden, der beteiligten Personen und des Inhalts der Meldung selbst (auch durch den Einsatz von Verschlüsselung) gewährleisten muss.

Berichte können in schriftlicher Form, auch elektronisch, mündlich, per Telefon oder über Sprachnachrichtensysteme oder schließlich durch ein direktes Treffen erfolgen. Informationen zur Durchführung von Whistleblowing müssen auf der Website des Arbeitgebers klar, sichtbar und zugänglich veröffentlicht werden. Mit den gleichen Methoden und Garantien der Vertraulichkeit besteht auch die Möglichkeit der Meldung über einen bei der ANAC aktivierten externen Kanal, wenn die internen Meldekanäle fehlen oder unwirksam sind, Vergeltungsmaßnahmen befürchtet werden oder das öffentliche Interesse gefährdet ist.

Die Berichte können nur so lange aufbewahrt werden, wie es für ihre Erstellung erforderlich ist, auf keinen Fall jedoch länger als fünf Jahre ab dem Datum der Übermittlung des endgültigen Ergebnisses.

Transparenz und Arbeitserlass: die ersten Hinweise des Bürgen.
Der Diskussionstisch mit dem Ministerium und der nationalen Arbeitsinspektion beginnt

Stärkere Kontrollen und strengere Garantien für den Einsatz von Entscheidungs- oder automatisierten Überwachungssystemen in öffentlichen und privaten Arbeitsverhältnissen. Vereinen Sie die Einhaltung der DSGVO mit der Transparenzverordnung. Unterstützen Sie Arbeitgeber bei der korrekten Anwendung der neuen Gesetzgebung.

Dies sind die ersten Hinweise , die der Datenschutzgarant in der Mitteilung an das Arbeitsministerium und die nationale Arbeitsinspektion als Antwort auf die zahlreichen
von Behörden und Unternehmen eingegangenen Fragen gegeben hat.

In der Mitteilung brachte der Bürge auch seine Bereitschaft zum Ausdruck, einen Diskussionstisch zu eröffnen, der darauf abzielt, eine korrekte Auslegung der durch das sogenannte Transparenzdekret eingeführten Regeln festzulegen.

Mit dem Erlass, der für untergeordnete Arbeitsverträge und andere Arbeitsformen gilt, wurde unter anderem die Verpflichtung des Arbeitgebers eingeführt, Arbeitnehmer angemessen zu informieren, wenn er zum Zwecke der Einstellung oder Vergabe des Auftrags automatisierte Entscheidungs- oder Überwachungssysteme nutzt oder für sonstige Tätigkeiten im Zusammenhang mit dem Arbeitsverhältnis und seiner Verwaltung.

Beispielsweise müssen Mitarbeiter die wichtigsten Parameter kennen, die zum Programmieren oder Trainieren automatisierter Systeme verwendet werden, einschließlich Leistungsbewertungsmechanismen sowie der Robustheit und Cybersicherheit der Systeme. Diese Informationspflichten, stellte der Garant klar, ersetzen nicht die bereits in der DSGVO vorgesehenen.

Die Behörde erinnerte außerdem daran, dass die Einführung der neuen Garantien die bereits in der EU-Verordnung zum Schutz personenbezogener Daten und im Arbeitnehmerstatut vorgesehenen Schutzmaßnahmen nicht verändert. Die Einführung von Überwachungssystemen am Arbeitsplatz muss daher immer Gegenstand einer vorläufigen Überprüfung der Rechtmäßigkeitsvoraussetzungen durch den Arbeitgeber sein, die in den Vorschriften über Fernsteuerungen festgelegt sind, sowie einer Risikobewertung, um ihre Auswirkungen auf die Rechte und Freiheiten von zu überprüfen Betroffene Personen.

Im Hinblick auf besonders invasive Systeme wie maschinelles Lernen sowie Bewertungs- und Ranking-Tools betonte der Garant schließlich, dass deren Einsatz kritische Fragen hinsichtlich der Verhältnismäßigkeit aufwirft und das Risiko birgt, im Widerspruch zu den Grundsätzen des Datenschutzes und den zu schützenden Vorschriften des Sektors zu stehen die Freiheit, Würde und Privatsphäre des Arbeitnehmers.

Ok, vom Datenschutzgaranten bis zur neuen Kulturcharta

Befürwortende Stellungnahme des Garanten für den Schutz personenbezogener Daten zu den neuen Durchführungsbestimmungen zur Kulturcharta, die den 18app-Bonus ersetzt. 

Die Kulturcharta wurde im Rahmen des Gesetzes 15 von 2020 gegründet, um Bildungsarmut zu bekämpfen und das Lesen zu fördern und zu unterstützen.

Hierbei handelt es sich um eine elektronische Karte mit einem Nennwert von 100 Euro, die innerhalb eines Jahres nach Ausstellung von italienischen und ausländischen Staatsbürgern mit Wohnsitz im Staatsgebiet und Angehörigen wirtschaftlich benachteiligter Familien für den Kauf von Büchern, digitalen Produkten und Dienstleistungen verwendet werden kann.

Mit dem dem Garanten vorgelegten neuen Ministerialerlass zur Schaffung der Kulturcharta ist die Wiederverwendung der „18app-Softwareanwendungen“ vorgesehen, mit einer ähnlichen Verarbeitung personenbezogener Daten, die auch die Wiederverwendung der bereits erfassten Daten der Betreiber beinhaltet im Rahmen der Initiative, wobei letztere jedoch die Möglichkeit hat, die Streichung von der Liste zu beantragen.

Das Dekret sieht eine „korrekte Definition der Rollen im Bereich der Verarbeitung“ vor, die dem Kulturministerium gehört, das PagoPA als Manager einsetzt (Einrichtung eines eigenen Abschnitts in der IO-App für die Anforderung der Karte). Consap (Rechnungsabwicklung) und Sogei (Erstellung und Verwaltung der Plattform).

Auch die Kategorien der verarbeiteten Daten entsprechen nach Ansicht des Garantiegebers den Datenschutzgesetzen. Um auf die Rangliste der Begünstigten zuzugreifen, müssen die Antragsteller ihre Steuernummer, die der Mitglieder der Familieneinheit, das Protokoll der Einheitlichen Selbsterklärung (DSU) und den numerischen Wert des ISEE-Indikators angeben, falls die Antragsteller liegen unter dem erwarteten Schwellenwert.

Schließlich sieht das Dekret vor, dass vor Beginn der für die Verwaltung der Karte erforderlichen Datenverarbeitung eine Folgenabschätzung durchgeführt wird, wobei die technischen und organisatorischen Sicherheitsmaßnahmen, die zur Gewährleistung eines angemessenen Sicherheitsniveaus geeignet sind, und die Aufbewahrungsfristen festgelegt werden Daten.

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9845339