Il Garante per la protezione dei dati personali pubblica il piano di ispezioni del secondo semestre 2019

Il Garante per la protezione dei dati personali, illustra, nell’ottica di informazione e comunicazione istituzionale, nel proprio programma ispettivo le aree di intervento definite nel secondo semestre 2019 settore bancario, sanitario e fatturazione elettronica.

Il Garante per la protezione dei dati personali definisce, attraverso la deliberazione del 12 settembre 2019, il programma delle ispezioni di ufficio pianificate nel secondo semestre 2019 ed individua molteplici specifiche aree di intervento. La sopra citata delibera è stata adottata nell’ottica di trasparenza e di comunicazione istituzionale e integra e completa il precedente piano delle ispezioni del primo semestre 2019 deliberazione del Garante n. 42 del 14 febbraio 2019 . Il Garante definisce attraverso il piano le priorità in relazione alle risorse disponibili, e individua principi e criteri dell’attività ispettiva. I poteri di indagini del Garante sono stati ulteriormente rafforzati dal regolamento privacy europeo art. 54 e dal Codice novellato dal decreto di armonizzazione d.lgs. n. 101/2018 artt. 157 e 158 . Il programma. Il programma non esaurisce le attività ispettive in quanto l’Autorità potrà svolgere ulteriori attività ispettive e di revisione d’ufficio ovvero in relazione a segnalazioni o reclami proposti. L’attività ispettiva di iniziativa del Garante ricomprende l’accertamento in loco curato dal personale dell'Ufficio o delegato alla Guardia di finanza nei luoghi dove si effettuano i trattamenti di dati, o nei quali occorre effettuare rilevazioni comunque utili al medesimo controllo, nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni. Il piano ispezioni in esame richiama sia il regolamento del Garante n. 1/2019 concernente le procedure interne all’Autorità aventi rilevanza esterna, finalizzate allo svolgimento dei compiti demandati al Garante Gazzetta Ufficiale n. 106 dell’8 maggio 2019 – Registro dei provvedimenti n. 98 del 4 aprile 2019 e sia il regolamento n. 2/2019 concernente l’individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi presso il Garante. Il Garante potrà avvalersi nelle attività ispettive anche della Guardia di Finanza con la quale ha stipulato un protocollo di intesa del 10 marzo 2016 che consolida le sinergie operative sviluppate tra le due istituzioni sancito dai precedenti protocolli 26 settembre 2002 11 novembre 2015 . Si tratta di un prezioso supporto di risorse e competenze, una buona prassi unica nel contesto europeo solo il Portogallo ha stipulato una convenzione simile . Nel corso dell’attività ispettiva, è possibile, in particolare, ai sensi del regolamento n. 1/2019 per il Garante e la Guardia di Finanza a controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico b richiedere informazioni e spiegazioni c accedere alle banche dati ed agli archivi d acquisire copia delle banche dati e degli archivi su supporto informatico. Durante l’attività ispettiva il soggetto sottoposto ad ispezione può farsi assistere, ai sensi del Regolamento n. 1/2019, da consulenti di propria fiducia e fare riserva di produrre la documentazione non immediatamente reperibile entro un termine congruo, di regola non superiore a trenta giorni in casi eccezionali, può essere richiesto un differimento di tale termine. Dell’attività svolta in sede ispettiva, è redatto processo verbale con particolare riferimento alle dichiarazioni rese ed ai documenti acquisiti, una copia del processo verbale viene consegnata al soggetto sottoposto ad ispezione ovvero ad attività di revisione. Il Garante rappresenta nel piano ispettivo che le attività di ispezioni saranno indirizzate agli accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di molteplici trattamenti. Le ispezioni riguarderanno accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di - trattamenti di dati personali effettuati da Istituti bancari, con particolare riferimento ai flussi verso l’anagrafe dei conti - trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica. L’attenzione del Garante si concentrerà sui trattamenti di dati personali effettuati da Enti pubblici, con riferimento a banche dati di notevoli dimensioni sui trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite c.d. whistleblowing . Tra le aree di ispezione del Garante sono ricomprese anche - i trattamenti di dati personali effettuati da società per attività di marketing - i trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione - i trattamenti di dati personali effettuati da società rientranti nel settore denominato Food Delivery”. Gli accertamenti del Garante avranno come oggetto anche i trattamenti di dati personali in ambito sanitario effettuati da parte di società private. Il Garante sottolinea che l’attività di ispezione si concentrerà sui controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati. Il Garante riserverà specifica attenzione ai profili sostanziali del trattamento che spiegano significativi effetti sugli interessati. L’attività ispettiva programmata riguarderà n. 100 accertamenti ispettivi di iniziativa effettuati anche a mezzo della Guardia di finanza. L’Ufficio informerà il Collegio sull’individuazione dei soggetti oggetto di ispezione e riferirà, alla fine del semestre sull’andamento delle attività ispettive e delle attività istruttorie a carattere ispettivo, a qualunque titolo compiute, ai sensi di quanto previsto dall’art. 9, comma 4, lettera e del Regolamento n. 1/2000 come modificato dalla deliberazione n. 374 del 25 giugno 2015 . Le ispezioni privacy sono in crescita sia sotto il profilo quantitativo che qualitativo e non si limitano più solo a verificare singole violazioni di disposizioni ma si estendono anche al rispetto del principio di accountability da parte dell’organizzazione, sulle scelte in materia di protezione dei dati personali, sulla logica e ambiti dei trattamenti.

GarantePrivacy_delibera_12_settembre_2019