Il nuovo piano ispettivo del Garante Privacy, le sanzioni per l’utilizzo di liste non verificate e il parere sullo schema di decreto del MEF

La Newsletter del Garante Privacy del 31 gennaio 2022, numero 486,  riguarda il piano ispettivo per il primo semestre 2022, le sanzioni per l’utilizzo di liste non verificate e il parere sullo schema di decreto del MEF.

Il nuovo piano ispettivo del Garante Privacy. Il piano ispettivo approvato dal Garante Privacy per il primo semestre di quest'anno si concentrerà sui cookie, gli smart toys e le app “rubadati”. L'attività di accertamento sarò svolta in collaborazione con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza e verificherà la correttezza dei trattamenti di dati personali effettuati dai siti di incontri, dagli operatori della c.d. “monetizzazione dei dati”, dai produttori di smart toys e altri ancora. Una particolare attenzione sarà riservata all'acquisizione di dati da parte delle app istallate sui cellulari. L'Autorità, inoltre, potrà svolgere ulteriori attività ispettive sulla base delle segnalazioni e dei reclami pervenuti. Le sanzioni per l'utilizzo di liste non verificate. Il Garante Privacy, a seguito della ricezione di alcuni reclami, ha sanzionato diverse società per l'invio di milioni di sms pubblicitari. Nel corso dell'istruttoria, l'Autorità ha verificato che la società committente aveva incaricato un'altra azienda di inviare sms promozionali a potenziali clienti. Quest'ultima era poi ricorsa ad altri fornitori che a loro volta avevano acquisito le banche dati da terzi soggetti. I dati delle persone contattate, però, provenivano da liste non verificate costituite da soggetti esteri con informazioni derivanti, in parte, da iscrizioni a concorsi online. Quindi, è stata sanzionata sia l'azienda committente, per non aver mai verificato che la seconda società eseguisse correttamente le istruzioni contenute nel contratto, sia l'azienda fornitrice del servizio di marketing, ma anche una terza impresa che, coinvolta per acquisire informazioni, non aveva mai dato riscontro alle richieste del Garante. L'Autorità, infatti, ha affermato che «chi commissiona una campagna promozionale deve sempre verificare che le società incaricate di svolgerla operino correttamente e non utilizzino illecitamente i dati di consumatori che non desiderano essere disturbati». Il parere sullo schema di decreto del MEF. Il Garante Privacy ha espresso un parere positivo, con alcune osservazioni, riguardo lo schema di decreto del MEF, il quale individua le finalità e le categorie dei trattamenti dei dati, «connessi alla lotta all'evasione fiscale, per i quali viene limitato l'esercizio dei diritti dei contribuenti». Nonostante lo schema tenga già conto di alcune indicazioni fornite, l'Autorità ha chiesto ulteriori modifiche per assicurare la conformità dei trattamenti alla normativa sulla privacy. Il Garante, infatti, ha chiesto di integrare lo schema di decreto «prevedendo specifiche garanzie per il differimento del diritto di accesso dei contribuenti che, all'esito degli accertamenti, saranno risultati in regola». Inoltre, in considerazione delle caratteristiche del trattamento dei dati e per ridurre i rischi per i contribuenti, il Ministero dovrà introdurre delle cautele specifiche per i dati automatizzati. Il MEF poi dovrà indicare nell'informativa in modo più chiaro le attività di profilazione e dovrà specificare dettagliatamente le categorie di dati oggetto di limitazione.