Il Garante per la protezione dei dati personali pubblica il piano di ispezioni del primo semestre 2022

Il Garante per la protezione dei dati personali illustra, nell’ottica di informazione e comunicazione istituzionale, nel programma ispettivo le aree di intervento delle ispezioni nel primo semestre 2022 app, cookie, videosorveglianza e Intelligenza artificiale.

Il Garante per la protezione dei dati personali definisce, attraverso la deliberazione del 22 dicembre 2021, il programma delle ispezioni di ufficio pianificate nel primo semestre 2022 ed individua molteplici specifiche aree di intervento. Il Garante definisce, attraverso il piano, le priorità in relazione alle risorse disponibili e individua principi e criteri dell’attività ispettiva. L’attività ispettiva di iniziativa del Garante ricomprende l’accertamento in loco curato dal personale dell'Ufficio o delegato alla Guardia di Finanza nei luoghi dove si effettuano i trattamenti di dati, o nei quali occorre effettuare rilevazioni comunque utili al medesimo controllo, nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni. La sopra citata delibera di programmazione illustra gli ambiti del controllo e gli obiettivi numerici da conseguire. Il provvedimento in esame tiene conto dei procedimenti ispettivi e sanzionatori in corso nonché di quelli avviati sulla base della precedente programmazione e non ancora conclusi. Il Piano ispezioni in esame richiama in materia il protocollo di intesa del 30 marzo 2021 siglato dal Guardia di Finanza e dal Garante per la Protezione dei dati personali che consolida le sinergie operative sviluppate tra le due istituzioni sancito dai precedenti protocolli. Il Garante illustra che le attività di ispezioni saranno indirizzate agli accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di molteplici trattamenti. Le ispezioni riguarderanno sia il settore pubblico che il settore privato. L’attività di ispezione del Garante sarà focalizzata su accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di - trattamenti di dati personali nei confronti di fornitori di database - trattamento di dati personali svolti da piattaforme e siti web in ordine alla corretta gestione dei cookies - trattamento di dati personali nel settore della c.d. videosorveglianza L’attenzione del Garante si concentrerà sul trattamento di dati da parte di siti di incontri operatori dell’ambito della c.d. data monetization e da parte di produttori e distributori di smart toys. Tra gli ambiti del nuovo piano ispezioni spicca, rispetto ai precedenti, l’individuazione dell’ambito degli algoritmi e intelligenza artificiale sia nel settore pubblico che nel settore privato. Gli algoritmi e l’intelligenza artificiale costituiscono tecnologie sempre più usate per sviluppare servizi innovativi in molteplici settori della società dal marketing, alla gestione delle risorse umane, dal contrasto all’evasione fiscale e alla prevenzione delle frodi informatiche ma possono anche comportare gravi rischi di discriminazione sociale per le persone. L’attività ispettiva si focalizzerà anche sugli accertamenti nei confronti di soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento alla corretta individuazione dei titolari e dei responsabili del Trattamento anche in relazione all’utilizzo di app. e altri applicativi informatici. Il piano ispezione individua come tema di attenzione il profilo dell’acquisizione di informazioni e dati personali da parte di app istallate sugli smartphone e alla verifica sul corretto trattamento dei dati da parte di app diverse da Verifica C19. Il piano in esame specifica che l’attività ispettiva programmata riguarderà 60 accertamenti ispettivi di iniziativa effettuati anche a mezzo della Guardia di finanza. Il documento in esame sottolinea che l’Ufficio potrà svolgere ulteriori attività ispettive e di revisione d’ufficio ovvero in relazione a segnalazioni o reclami proposti. L’Ufficio informerà il Collegio sull’individuazione dei soggetti di cui ai punti a e b e riferirà, alla fine del semestre, sull’andamento delle attività ispettive e delle attività istruttorie a carattere ispettivo, a qualunque titolo compiute, ai sensi di quanto previsto dall’art. 9, comma 4, lettera e , del Regolamento n. 1/2000 come modificato dalla deliberazione n. 374 del 25 giugno 2015 . Il piano di ispezioni è di interesse in quanto dimostra lo sforzo e l’importanza del ruolo dell’Autorità Garante, la cui visione in ambito ispettivo non sarà solo concentrata sulle violazioni ma su come l’organizzazione dimostri di essere accountability nelle proprie attività quotidiane. I poteri del Garante in ambito ispettivo sono disciplinati dal regolamento n. 1/2019 della stessa Autorità concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali. Il sopracitato regolamento prevede che Nel corso dell’attività ispettiva, della quale può essere dato preavviso, è possibile, in particolare a controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico b richiedere informazioni e spiegazioni c accedere alle banche dati ed agli archivi d acquisire copia delle banche dati e degli archivi su supporto informatico . Il sopracitato regolamento specifica che durante l’attività ispettiva il soggetto sottoposto ad ispezione può farsi assistere da consulenti di propria fiducia e fare riserva di produrre la documentazione non immediatamente reperibile entro un termine congruo, di regola non superiore a trenta giorni in casi eccezionali, può essere richiesto un differimento di tale termine. Le recenti sanzioni comminate dall’Autorità Garante privacy a Enel, università e comuni dimostrano come sia costante, complessa e dinamica l’attività di controllo del relativo Dipartimento attività ispettive che costituisce un punto di riferimento e una risorsa anche a livello europeo nella delicata materia della tutela dei dati. Il provvedimento in esame conferma la centralità della collaborazione con la Guardia di Finanza alla luce del nuovo protocollo d’intesa che prevede dal punto di vista strategico, che il Garante potrà avvalersi di personale specializzato del Corpo anche per la conduzione di ispezioni congiunte con altre autorità estere e un aumento delle risorse in considerazione delle complesse sfide anche tecnologiche che attendono l’Autorità.

Garante Privacy - Deliberazione del 22 dicembre 2021