Il Garante Privacy pubblica il piano di ispezioni del primo semestre 2020

Il Garante per la protezione dei dati personali, illustra, nell’ottica di informazione e comunicazione istituzionale, nel programma ispettivo le aree di intervento definite nel secondo semestre 2020 settore sanitario, bancario ed il marketing.

Il Garante per la protezione dei dati personali definisce, attraverso la deliberazione del 6 febbraio 2020, il programma delle ispezioni di ufficio pianificate nel primo semestre ed individua molteplici specifiche aree di intervento. Definisce, attraverso il piano, le priorità in relazione alle risorse disponibili, e individua principi e criteri dell’attività ispettiva. L’attività ispettiva di iniziativa del Garante ricomprende l’accertamento in loco curato dal personale dell'Ufficio o delegato alla Guardia di finanza nei luoghi dove si effettuano i trattamenti di dati, o nei quali occorre effettuare rilevazioni comunque utili al medesimo controllo, nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni. La sopra citata delibera di programmazione illustra gli ambiti del controllo e gli obiettivi numerici da conseguire. Il provvedimento in esame tiene conto dei procedimenti ispettivi e sanzionatori in corso nonché di quelli avviati sulla base della precedente programmazione e non ancora conclusi. Il piano. Il piano ispezioni in esame richiama in materia il protocollo di intesa del 10 marzo 2016 siglato dalla Guardia di Finanza e dal Garante per la Protezione dei dati personali che consolida le sinergie operative sviluppate tra le due istituzioni sancito dai precedenti protocolli 26 settembre 2002 11 novembre 2015 . Il Garante illustra che le attività di ispezioni saranno indirizzate agli accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di molteplici trattamenti. Le ispezioni riguarderanno sia il settore pubblico che il settore privato. In ambito pubblico l’attenzione del Garante per la protezione dei dati personali, si concentrerà sui seguenti profili - accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di -trattamenti di dati personali effettuati da Enti pubblici relativamente alla c.d. medicina di iniziativa - trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite c.d. whistleblowing - trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR. Nel settore privato l’attività di ispezione del Garante sarà focalizzata sui seguenti profili - trattamenti di dati relativi alla salute effettuati da società multinazionali operanti nel settore farmaceutico e sanitario - trattamento di dati personali effettuati nel quadro dei servizi bancari on line - trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica - trattamenti di dati personali effettuati da società private ed Enti pubblici per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center - trattamenti di dati personali effettuati da società per attività di marketing - trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione - trattamenti di dati personali effettuati da società rientranti nel settore denominato Food Delivery” - trattamento di dati personali effettuati da società private in tema di banche reputazionali. Il piano ispezione individua come tema di attenzione l’istituto della comunicazione delle violazioni di dati data breach. Le ispezioni programmate si focalizzano sui seguenti aspetti sui controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati. Il Garante rappresenta che sarà prestata specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati. Il piano in esame specifica che l’attività ispettiva programmata riguarderà n. 80 accertamenti ispettivi di iniziativa effettuati anche a mezzo della Guardia di finanza. Il documento in esame sottolinea che l’Ufficio potrà svolgere ulteriori attività ispettive e di revisione d’ufficio ovvero in relazione a segnalazioni o reclami proposti. L’Ufficio informerà il Collegio sull’individuazione dei soggetti di cui ai punti a e b e riferirà, alla fine del semestre, sull’andamento delle attività ispettive e delle attività istruttorie a carattere ispettivo, a qualunque titolo compiute, ai sensi di quanto previsto dall’art. 9, comma 4, lettera e del Regolamento n. 1/2000 come modificato dalla deliberazione n. 374 del 25 giugno 2015 . Il piano di ispezioni è di interesse in quanto dimostra lo sforzo e l’importanza del ruolo dell’Autorità Garante, la cui visione in ambito ispettivo non sarà solo concentrata sulle violazioni ma su come l’organizzazione dimostri di essere accountability nelle proprie attività quotidiane. I poteri del Garante in ambito ispettivo sono disciplinati dal Regolamento n. 1/2019 della stessa Autorità concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali. Il sopracitato regolamento prevede che Nel corso dell’attività ispettiva, della quale può essere dato preavviso, è possibile, in particolare a controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico b richiedere informazioni e spiegazioni c accedere alle banche dati ed agli archivi d acquisire copia delle banche dati e degli archivi su supporto informatico”. Il sopracitato regolamento specifica che durante l’attività ispettiva il soggetto sottoposto ad ispezione può farsi assistere da consulenti di propria fiducia e fare riserva di produrre la documentazione non immediatamente reperibile entro un termine congruo, di regola non superiore a trenta giorni in casi eccezionali, può essere richiesto un differimento di tale termine Le recenti sanzioni comminate dall’Autorità Garante privacy a Tim ed Eni, università e comuni dimostrano come sia costante, complessa e dinamica l’attività di controllo del relativo Dipartimento attività ispettive che costituisce un punto di riferimento e una risorsa anche a livello europeo nella delicata materia della tutela dei dati. Il provvedimento in esame conferma la centralità della collaborazione con la Guardia di Finanza con la quale sta per essere aggiornato il relativo protocollo di intesa in considerazione delle modifiche organizzative la soppressione del Nucleo speciale privacy e l’istituzione del Nucleo speciale tutela privacy e frodi tecnologiche. Il nuovo protocollo d’intesa prevede dal punto di vista strategico, che il Garante potrà avvalersi di personale specializzato del Corpo anche per la conduzione di ispezioni congiunte con altre autorità estere e un aumento delle risorse in considerazione delle complesse sfide anche tecnologiche che attendono l’Autorità.