Il nuovo piano ispettivo del Garante privacy: ecco gli ambiti di intervento - Cyber Security 360

ADEMPIMENTI PRIVACY

Il nuovo piano ispettivo del Garante privacy: ecco gli ambiti di intervento

La pubblicazione del nuovo piano ispettivo del Garante privacy relativo al secondo semestre del 2020 offre degli spunti sull’approccio che il nuovo Collegio dell’Autorità ha inteso adottare per lo svolgimento dell’attività ispettiva. Ecco quali

27 Ott 2020
G
Stefano Gazzella

Consulente Privacy & ICT Law, Data Protection Officer

Il Garante per la protezione dei dati personali ha deliberato in data 1 ottobre 2020 il piano dell’attività ispettiva da svolgere nel periodo da luglio a dicembre 2020, dando così parziale continuità a quella già condotta nel primo semestre su iniziativa del precedente Collegio.

All’interno del programma dei controlli sono stati disposti 30 accertamenti ispettivi di iniziativa effettuati anche a mezzo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, riguardanti gli ambiti individuati dal provvedimento, sebbene il Collegio possa estendere tali attività di propria iniziativa qualora rilevi eventi di particolare rilevanza, d’ufficio o altrimenti dando seguito a segnalazioni o reclami.

La continuità rispetto al primo semestre 2020

Rispetto al primo semestre 2020 viene confermata l’attività di accertamento relativa agli accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:

  • trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing);
  • trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica;
  • trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR;
  • trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”;
  • trattamento di dati personali effettuati da società private in tema di banche reputazionali.

Dal momento che tutti i settori oggetto di attenzione sono accomunati dallo svolgimento di attività di trattamento di dati personali connotate da un elevato rischio intrinseco, quasi certamente la valutazione delle misure di sicurezza, il rispetto dell’art. 32 GDPR e il corretto svolgimento della valutazione preliminare d’impatto ove richiesta dall’art. 35 GDPR saranno le principali tematiche oggetto di verifica ispettiva.

Nuovo piano ispettivo del Garante privacy: ecco su cosa si concentrerà

Dal programma del piano ispettivo del Garante privacy del secondo semestre 2020 emergono anche due nuovi ambiti di intervento, relativamente a:

  • trattamenti di dati personali effettuati da società private ed Enti pubblici per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center;
  • data breach.

Le ispezioni andranno così a coprire anche un settore specifico, qual è il servizio di call center, che le violazioni di sicurezza, estendendosi potenzialmente in maniera trasversale nei confronti di più categorie di titolari (e responsabili) del trattamento.

La scelta di dirigere l’attività ispettiva sui data breach suggerisce che, oltre ai già citati controlli relativi all’adeguatezza delle misure di sicurezza, saranno svolte anche verifiche riguardanti la corretta predisposizione delle procedure adottate per la gestione delle violazioni (dalla rilevazione alla registrazione e all’eventuale notifica ai sensi dell’art. 33 GDPR e comunicazione ai sensi dell’art. 34 GDPR).

Nuovo piano ispettivo del Garante privacy: il focus dei controlli

La programmazione dei controlli riguardanti soggetti pubblici e privati riguarderà, su espressa previsione del provvedimento, principalmente le condizioni di liceità dei trattamenti, con particolare riferimento ai profili di validità del consenso, nonché la verifica del corretto adempimento degli obblighi di informazione e dei tempi di conservazione dei dati.

Il punto del piano ispettivo dedicato ai controlli dà continuità all’approccio adottato già dall’entrata in vigore del GDPR, per cui viene data “specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati”.

Conclusioni

Il nuovo Collegio adotta una soluzione di continuità nell’attività dei controlli, tanto per i settori d’intervento che, soprattutto, per i principali aspetti oggetto di verifica, sempre con un approccio che ha cura della tutela sostanziale degli interessati.

È di particolare importanza, tanto per titolari e responsabili del trattamento che per Privacy Officer e DPO, cogliere proprio gli spunti di metodo offerti dall’Autorità affinché si possano svolgere già internamente le attività di riesame e controllo necessari per il mantenimento della conformità al GDPR.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5