Il Garante per la protezione dei dati personali illustra, nell’ottica di informazione e comunicazione istituzionale, nel programma ispettivo le aree di intervento definite nel primo semestre 2021 le violazioni della sicurezza dei dati data breach i trattamenti di dati effettuati da data broker” il riconoscimento facciale mediante sistema di videosorveglianza.
Il Garante per la protezione dei dati personali definisce, attraverso la deliberazione del 10 dicembre 2020, il programma delle ispezioni di ufficio pianificate nel primo semestre 2021 ed individua molteplici specifiche aree di intervento. Il Garante definisce, attraverso il piano, le priorità in relazione alle risorse disponibili, e individua principi e criteri dell’attività ispettiva. L’attività ispettiva di iniziativa del Garante ricomprende l’ accertamento in loco curato dal personale dell'Ufficio o delegato alla Guardia di Finanza nei luoghi dove si effettuano i trattamenti di dati, o nei quali occorre effettuare rilevazioni comunque utili al medesimo controllo, nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni. La sopra citata delibera illustra gli ambiti del controllo e gli obiettivi numerici da conseguire. Il provvedimento in esame tiene conto dei procedimenti ispettivi e sanzionatori in corso nonché di quelli avviati sulla base della precedente programmazione e non ancora conclusi. Il Piano ispezioni in esame richiama in materia il protocollo di intesa del 10 marzo 2016 siglato dalla Guardia di Finanza e dal Garante per la Protezione dei dati personali che consolida le sinergie operative sviluppate tra le due istituzioni sancito dai precedenti protocolli 26 settembre 2002 11 novembre 2015 . Il Garante illustra che le attività di ispezioni saranno indirizzate agli accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di molteplici trattamenti. Le ispezioni riguarderanno sia il settore pubblico che il settore privato . L’attività di ispezione del Garante sarà focalizzata sui seguenti profili - accertamenti in riferimento a profili di interesse generale nell’ambito di trattamenti di dati biometrici per il riconoscimento facciale anche mediante sistemi di videosorveglianza - trattamenti di dati personali nel settore della c.d. videosorveglianza domestica ” e nel settore dei sistemi audio/video applicati ai giochi c.d. giocattoli connessi - trattamenti di dati personali effettuati da data broker ” - trattamenti di dati personali effettuati da società rientranti nel settore denominato Food Delivery ” - data breach . Le ispezioni programmate si focalizzano sui seguenti aspetti - verifica dei presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia fondato su tale base giuridica, - rispetto dell’ obbligo dell’informativa nonché sulla durata della conservazione dei dati. L’attenzione del Garante sarà rivolta ai profili sostanziali del trattamento che spiegano significativi effetti sugli interessati. Il piano in esame specifica che l’attività ispettiva programmata riguarderà n. 50 accertamenti ispettivi di iniziativa effettuati anche a mezzo della Guardia di Finanza, si registra a riguardo un aumento rispetto alle 30 ispezioni del precedente secondo semestre del 2020. La delibera di programmazione delle ispezioni sottolinea che la diffusione di Sars-Cov-2 e della conseguente crisi sanitaria che ne è seguita, hanno amplificato i rischi connessi alla maggiore dipendenza da dati e tecnologie anche in termini concentrazione del potere di mercato e di sorveglianza, rendendo evidente la necessità di efficaci meccanismi di garanzia a salvaguardia dei diritti e delle libertà fondamentali all’esito di opportune iniziative conoscitive, anche di tipo ispettivo. Il documento in esame richiama l’attenzione degli operatori e delle organizzazioni sul fatto che l’Ufficio potrà svolgere ulteriori attività ispettive e di revisione d’ufficio ovvero in relazione a segnalazioni o reclami proposti. Il piano di ispezioni è di interesse in quanto dimostra lo sforzo e l’importanza del ruolo dell’Autorità Garante, la cui visione in ambito ispettivo non sarà solo concentrata sulle violazioni ma su come l’organizzazione dimostri di essere accountability nelle proprie attività quotidiane. I poteri del Garante in ambito ispettivo sono disciplinati dal regolamento n. 1/2019 della stessa Autorità concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali. Il sopracitato regolamento prevede che Nel corso dell’attività ispettiva, della quale può essere dato preavviso, è possibile, in particolare a controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico b richiedere informazioni e spiegazioni c accedere alle banche dati ed agli archivi d acquisire copia delle banche dati e degli archivi su supporto informatico . Il sopracitato regolamento specifica che durante l’attività ispettiva il soggetto sottoposto ad ispezione può farsi assistere da consulenti di propria fiducia e riservarsi di produrre la documentazione non immediatamente reperibile entro un termine congruo, di regola non superiore a trenta giorni in casi eccezionali, può essere richiesto un differimento di tale termine. Le recenti sanzioni comminate dall’Autorità Garante privacy a diversi Comuni e aziende dimostrano come sia costante, complessa e dinamica l’attività di controllo del relativo Dipartimento attività ispettive che costituisce un punto di riferimento e una risorsa anche a livello europeo nella delicata materia della tutela dei dati. La maggior parte dei controlli saranno effettuati a causa lo sviluppo della pandemia, da remoto attraverso l’analisi dei siti web, profilo che dovrà essere attenzionato dalle organizzazioni. Il provvedimento in esame conferma la centralità della collaborazione con la Guardia di Finanza con la quale sta per essere aggiornato il relativo protocollo di intesa in considerazione delle modifiche organizzative la soppressione del Nucleo speciale privacy e l’istituzione del Nucleo speciale tutela privacy e frodi tecnologiche. Il protocollo d’intesa prevede dal punto di vista strategico, che il Garante potrà avvalersi di personale specializzato del Corpo anche per la conduzione di ispezioni congiunte con altre autorità estere e un aumento delle risorse in considerazione delle complesse sfide anche tecnologiche che attendono l’Autorità. Alla luce del sopra citato piano di ispezioni risulta imprescindibile per le organizzazioni rivedere e aggiornare le proprie policy in materia di data breach e dotarsi di una procedura di gestione delle richieste e delle ispezioni del Garante. La procedura costituisce uno strumento di accountability e deve indicare in modo semplice e sintetico ruoli, compiti e tempistiche di intervento delle varie figure aziendali. Le sopra citate policy devono essere inserite nel piano formativo GDPR dell’organizzazione al fine di una maggiore efficacia, occorre organizzare sessioni di simulazioni di esercitazioni con la previsione anche di percorso più ampio di training per le varie figure aziendali coinvolte.