Il Garante Privacy pubblica il piano di ispezioni del secondo semestre 2020

Il Garante per la protezione dei dati personali, illustra, nell’ottica di informazione e comunicazione istituzionale, nel programma ispettivo le aree di intervento definite nel secondo semestre 2020 la fatturazione elettronica, il whistleblowing, il food delivery, le violazioni della sicurezza dei dati data breach .

Il Garante per la protezione dei dati personali definisce, attraverso la deliberazione del 1° ottobre 2020 , il programma delle ispezioni di ufficio pianificate nel secondo semestre ed individua molteplici specifiche aree di intervento. Il Garante definisce, attraverso il piano, le priorità in relazione alle risorse disponibili, e individua principi e criteri dell’attività ispettiva. L’attività ispettiva di iniziativa del Garante ricomprende l’accertamento in loco curato dal personale dell'Ufficio o delegato alla Guardia di finanza nei luoghi dove si effettuano i trattamenti di dati, o nei quali occorre effettuare rilevazioni comunque utili al medesimo controllo, nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni. La sopra citata delibera di programmazione illustra gli ambiti del controllo e gli obiettivi numerici da conseguire. Il provvedimento in esame tiene conto dei procedimenti ispettivi e sanzionatori in corso nonché di quelli avviati sulla base della precedente programmazione e non ancora conclusi. Il Piano ispezioni in esame richiama in materia il protocollo di intesa del 10 marzo 2016 siglato dalla Guardia di Finanza e dal Garante per la Protezione dei dati personali che consolida le sinergie operative sviluppate tra le due istituzioni sancito dai precedenti protocolli 26 settembre 2002 11 novembre 2015 . Il Garante illustra che le attività di ispezioni saranno indirizzate agli accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di molteplici trattamenti. Le ispezioni riguarderanno sia il settore pubblico che il settore privato. L’attività di ispezione del Garante sarà focalizzata sui seguenti profili - accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di - trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite c.d. whistleblowing - trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica - trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR - trattamenti di dati personali effettuati da società private ed Enti pubblici per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center - trattamenti di dati personali effettuati da società rientranti nel settore denominato Food Delivery” - trattamento di dati personali effettuati da società private in tema di banche reputazionali - data breach. Le ispezioni programmate si focalizzano sui seguenti aspetti sui controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati. Il Garante rappresenta che sarà prestata specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati. Il piano in esame specifica che l’attività ispettiva programmata riguarderà n. 30 accertamenti ispettivi di iniziativa effettuati anche a mezzo della Guardia di finanza. Il documento in esame sottolinea che l’Ufficio potrà svolgere ulteriori attività ispettive e di revisione d’ufficio ovvero in relazione a segnalazioni o reclami proposti. L’Ufficio informerà il Collegio sull’individuazione dei soggetti di cui ai punti a e b e riferirà, alla fine del semestre, sull’andamento delle attività ispettive e delle attività istruttorie a carattere ispettivo, a qualunque titolo compiute, ai sensi di quanto previsto dall’art. 9, comma 4, lettera e del Regolamento n. 1/2000 come modificato dalla deliberazione n. 374 del 25 giugno 2015 . Il piano di ispezioni è di interesse in quanto dimostra lo sforzo e l’importanza del ruolo dell’Autorità Garante, la cui visione in ambito ispettivo non sarà solo concentrata sulle violazioni ma su come l’organizzazione dimostri di essere accountability nelle proprie attività quotidiane. I poteri del Garante in ambito ispettivo sono disciplinati dal regolamento n. 1/2019 della stessa Autorità concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali. Il sopracitato regolamento prevede che Nel corso dell’attività ispettiva, della quale può essere dato preavviso, è possibile, in particolare a controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico b richiedere informazioni e spiegazioni c accedere alle banche dati ed agli archivi d acquisire copia delle banche dati e degli archivi su supporto informatico . Il sopracitato regolamento specifica che durante l’attività ispettiva il soggetto sottoposto ad ispezione può farsi assistere da consulenti di propria fiducia e fare riserva di produrre la documentazione non immediatamente reperibile entro un termine congruo, di regola non superiore a 30 giorni in casi eccezionali, può essere richiesto un differimento di tale termine. Le recenti sanzioni comminate dall’Autorità Garante privacy a diversi Comuni e aziende dimostrano come sia costante, complessa e dinamica l’attività di controllo del relativo Dipartimento attività ispettive che costituisce un punto di riferimento e una risorsa anche a livello europeo nella delicata materia della tutela dei dati. La maggior parte dei controlli saranno effettuati, causa lo sviluppo della pandemia, da remoto attraverso l’analisi dei siti web, profilo che dovrà essere attenzionato dalle organizzazioni. Il provvedimento in esame conferma la centralità della collaborazione con la Guardia di Finanza con la quale sta per essere aggiornato il relativo protocollo di intesa in considerazione delle modifiche organizzative la soppressione del Nucleo speciale privacy e l’istituzione del Nucleo speciale tutela privacy e frodi tecnologiche. Il protocollo d’intesa prevede dal punto di vista strategico, che il Garante potrà avvalersi di personale specializzato del Corpo anche per la conduzione di ispezioni congiunte con altre autorità estere e un aumento delle risorse in considerazione delle complesse sfide anche tecnologiche che attendono l’Autorità. Alla luce del sopra citato piano di ispezioni risulta imprescindibile per le organizzazioni rivedere e aggiornare le proprie policy in materia di data breach e dotarsi di una procedura di gestione delle richieste e delle ispezioni del Garante. La procedura costituisce uno strumento di accountability e deve indicare in modo semplice e sintetico ruoli, compiti e tempistiche di intervento delle varie figure aziendali. Le sopra citate policy devono essere inserite nel piano formativo GDPR dell’organizzazione al fine di una maggiore efficacia, occorre organizzare sessioni di simulazioni di esercitazioni con la previsione anche di percorso più ampio di training per le varie figure aziendali coinvolte. Un primo bilancio dell’attività ispettiva e sanzionatoria dell’Autorità nel primo semestre del 2020 ha registrato intanto un notevole incremento delle entrate complessive derivanti dalle sanzioni che passano da 1 milione 223mila euro del primo semestre del 2019 a 7 milioni 108 mila euro, con un aumento del 481%. Sono state effettuate, inoltre, iscrizioni a ruolo per un importo complessivo di 5 milioni 42 mila euro +124% a fronte dei 2 milioni 248mila euro del primo semestre 2019, che hanno riguardato trasgressori che non si sono avvalsi della facoltà di definizione agevolata prevista dal d.lgs. n. 101/2018.