La guida

Piano di ispezioni del Garante privacy: il calendario del primo semestre 2020

Il Garante della privacy ha presentato il piano di ispezioni per il primo semestre 2020 per verificare la compliance alla normativa sulla data protection: ecco tutti i dettagli sugli ambiti di interesse per le autorità

18 Feb 2020
C
Marco Cassaro

Senior Advisory Risk & Compliance


Il Garante per la protezione dei dati personali ha pubblicato in data 18 febbraio 2020 il piano di ispezioni del primo semestre 2020. Ecco le aree di intervento e tutti i dettagli.

La decisione del Garante

L’importanza della deliberazione del Garante della privacy sulle ispezioni è fuor di dubbio. La stessa ricopre particolare interesse non solo perché definisce la programmazione delle ispezioni successivamente all’anno 2019 ma soprattutto perché consente di verificare gli ambiti su cui l’Autorità ha deciso di focalizzarsi dopo le prime sanzioni di rilevante entità; da un lato confermando alcuni soggetti interessati dall’altro ampliando gli ambiti di interesse.

Riconfermando la collaborazione con la Guardia di Finanza che si inserisce nella cornice del protocollo di intesa tra le due istituzioni, la deliberazione ampia gli ambiti di intervento e specifica il numero di accertamenti che in teoria dovrebbero essere svolti durante il periodo di riferimento (i.e. n. 80 accertamenti ispettivi, meno di quelli dell’ultimo semestre 2019, di iniziativa effettuati anche a mezzo della Guardia di finanza).

Gli accertamenti

Le attività d’ispezioni saranno/sono rivolte in riferimento a molteplici tipologie di trattamento e più nello specifico a:

  • ad accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:
    1. trattamenti di dati personali effettuati da Enti pubblici relativamente alla c.d. medicina di iniziativa;
    2. trattamenti di dati relativi alla salute effettuati da società multinazionali operanti nel settore farmaceutico e sanitario;
    3. trattamento di dati personali effettuati nel quadro dei servizi bancari on line;
    4. trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing);
    5. trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica;
    6. trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR;
    7. trattamenti di dati personali effettuati da società private ed Enti pubblici per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center;
    8. trattamenti di dati personali effettuati da società per attività di marketing;
    9. trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;
    10. trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”;
    11. trattamento di dati personali effettuati da società private in tema di banche reputazionali;
    12. data breach.
  • Controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati;

Riconferme del precedente piano ispettivo del Garante privacy e novità

Si riporta per semplicità di lettura gli ambiti di ispezione che erano stati previsti attraverso il Piano ispettivo del secondo semestre 2019 anche al fine di valutarne punti in comune con la recente deliberazione e le relative novità. Limitatamente al secondo semestre 2019, l’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, era indirizzata:

  • ad accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:
    1. trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing);
    2. trattamenti di dati personali effettuati da Istituti bancari, con particolare riferimento ai flussi verso l’anagrafe dei conti;
    3. trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica;
    4. trattamenti di dati personali effettuati da società per attività di marketing;
    5. trattamenti di dati personali effettuati da Enti pubblici, con riferimento a banche dati di notevoli dimensioni;
    6. trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;
    7. trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”;
    8. trattamenti di dati personali in ambito sanitario effettuati da parte di società private.
  • a controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati;
WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Come appare evidente l’interesse dell’Autorità Garante è rimasto invariato rispetto a:

  • istituti bancari, questa volta con riferimento ai servizi on-line;
  • società che svolgono attività di trattamento in ambito di marketing;
  • enti pubblici;
  • fatturazione elettronica;
  • società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;
  • whistleblowing;
  • Food Delivery;

mentre maggior attenzione è stata posta in relazione a:

  • Data breach, che rappresenta certamente un new entry rispetto alle ispezioni passate;
  • Settore farmaceutico e sanitario;

Conclusioni

Concludendo appare chiaro come l’Autorità Garante stia ponendo dall’entrata in vigore del GDPR particolare attenzione sia su tematiche di rilevanza rispetto all’opinione pubblica e rispetto alle novità normative (data breach, whistleblowing, fatturazione elettronica, food delivery) sia su tutte quelle tematiche che per loro natura richiedono una particolare attenzione rispetto ai dati trattati, ai soggetti interessati ed alle basi di liceità utilizzati dal Titolare del trattamento per giustificare il relativo utilizzo.

Importante ricordare che indipendentemente dall’appartenenza alle categorie descritte dalla deliberazione è fondamentale che tutti i titolari del trattamento si adeguino alla normativa e siano in grado in un’ottica di accountability e di rispetto dei principi di liceità di dimostrare di essersi conformati alle disposizioni nazionali ed europee; tenuto conto che così come anche segnalato dall’Autorità che da un primo bilancio dell’attività ispettiva e sanzionatoria nel 2019 si sono registrate:

  • sanzioni per 15.910.390 di euro.
  • iscrizioni a ruolo per un importo complessivo di 12.243.267 euro riguardanti trasgressori che non si sono avvalsi della facoltà di definizione agevolata prevista dal decreto legislativo n.101 del 2018.
@RIPRODUZIONE RISERVATA

Articolo 1 di 4