Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

REGOLAMENTO UE

Piano di ispezioni del Garante privacy per il secondo semestre 2019: le nuove aree di intervento e il calendario

È stato pubblicato, un po’ in sordina, il nuovo piano di ispezioni del Garante privacy relativo al secondo semestre dell’anno in corso. Una deliberazione utile a capire gli ambiti su cui l’Autorità ha deciso di focalizzare gli interventi ispettivi e i relativi soggetti interessati. Ecco il calendario e tutti i dettagli tecnici

25 Ott 2019
C
Marco Cassaro

Senior Advisory Risk & Compliance


Il Garante per la protezione dei dati personali ha pubblicato in data 12 settembre 2019 (o almeno così risulta dalla data indicata sulla deliberazione) il piano di ispezioni del secondo semestre 2019.

Senza sollevare particolari polemiche sul punto, ma segnalando un aspetto assai peculiare, si rileva come nessuna notizia o divulgazione è stata data rispetto a tale importantissima attività e sui contenuti in essa previsti. Forse perché la notizia è passata in sordina? O forse per qualche problema tecnico informatico relativo alla pubblicazione sul sito istituzionale?

Questo non è dato sapere, in ogni caso ecco le aree di intervento interessate dall’attività ispettiva del Garante e tutti i relativi dettagli tecnici.

Piano di ispezioni del Garante privacy: i dettagli

Fuor di dubbio è l’importanza della deliberazione. La stessa ricopre particolare interesse non solo perché definisce la programmazione delle ispezioni successivamente al primo semestre 2019, ma soprattutto perché consente di verificare gli ambiti su cui l’Autorità ha deciso di focalizzarsi dopo i primi interventi ispettivi; da un lato confermando alcuni soggetti interessati dall’altro ampliando gli ambiti di interesse.

Riconfermando la collaborazione con la Guardia di Finanza che si inserisce nella cornice del protocollo di intesa tra le due istituzioni, la deliberazione amplia gli ambiti di intervento e specifica il numero di accertamenti che in teoria dovrebbero essere svolti durante il periodo di riferimento: 100 accertamenti ispettivi di iniziativa effettuati anche a mezzo della Guardia di finanza.

Le attività d’ispezioni saranno rivolte in riferimento a molteplici tipologie di trattamento e più nello specifico a:

  1. accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:
    a) trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing);
    b) trattamenti di dati personali effettuati da istituti bancari, con particolare riferimento ai flussi verso l’anagrafe dei conti;
    c) trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica;
    d) trattamenti di dati personali effettuati da società per attività di marketing;
    e) trattamenti di dati personali effettuati da enti pubblici, con riferimento a banche dati di notevoli dimensioni;
    f) trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;
    g) trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”;
    h) trattamenti di dati personali in ambito sanitario effettuati da parte di società private.
  2. controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati.

Fil rouge con il precedente piano ispettivo e novità

Si riportano, per semplicità di lettura, gli ambiti di ispezione che erano stati previsti attraverso la deliberazione del 14 febbraio 2019 per il primo semestre del suddetto anno anche al fine di valutarne punti in comune con la recente deliberazione e le relative novità.

WHITEPAPER
Cybersecurity: come superare efficacemente le vulnerabilità delle tecniche di Intelligenza Artificia
Sicurezza

Limitatamente al periodo gennaio-giugno 2019, l’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, era indirizzata a:

  1. accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:
    a) trattamenti effettuati dall’ISTAT, per una verifica preliminare sul SIM (Sistema Integrato di Microdati) e altri sistemi informativi statistici come da parere sul programma statistico nazionale del 20 ottobre 2015;
    b) trattamenti di dati personali effettuati per il rilascio dell’identità federata (SPID);
    c) trattamenti di dati personali effettuati da Istituti bancari, con particolare riferimento ai flussi di cui all’anagrafe dei conti;
    d) trattamenti di dati personali effettuati da società per attività di marketing;
    e) trattamenti di dati personali effettuati da Enti pubblici, con riferimento a banche dati di notevoli dimensioni;
    f) trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione.
  2. controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati.

Come appare evidente l’interesse dell’Autorità Garante è rimasto invariato rispetto a:

  • istituti bancari;
  • società che svolgono attività di trattamento in ambito di marketing;
  • enti pubblici;
  • società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;

mentre maggior attenzione è stata posta in relazione a:

  • whistleblowing;
  • fatturazione elettronica;
  • Food Delivery;
  • dati sanitari trattati da Società private.

Invariati, invece, il numero di accertamenti ispettivi su iniziativa della Guardia di Finanza così come anche le categorie descritte al secondo punto di entrambe le deliberazioni.

Conclusioni

Concludendo, appare chiaro come l’Autorità Garante stia ponendo da un anno a questa parte l’attenzione sia su tematiche di rilevanza rispetto all’opinione pubblica e rispetto alle novità normative (e.g. whistleblowing, fatturazione elettronica, food delivery ecc.) sia su tutte quelle tematiche che per loro natura richiedono una particolare attenzione rispetto ai dati trattati, ai soggetti interessati ed alle basi di liceità utilizzati dal titolare del trattamento per giustificare il relativo utilizzo.

È premura di chi scrive ricordare che, indipendentemente dall’appartenenza alle categorie descritte dalla deliberazione, è fondamentale che tutti i titolare del trattamento si adeguino alla normativa e siano in grado in un’ottica di accountability e di rispetto dei principi di liceità di dimostrare di essersi conformati alle disposizioni nazionali ed europee.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3