Ispezioni Garante Privacy

Garante Privacy: approvato il piano ispettivo per il primo semestre 2020

L’Autorità Garante per la Protezione dei Dati Personali ha reso noti i criteri e i principi relativi all’attività ispettiva che sarà svolta per il primo semestre 2020, anche in collaborazione con il Nucleo Speciale Tutela Privacy e Frodi Informatiche della Guardia di Finanza.

Gli accertamenti, secondo il Provvedimento n. 23/2020, riguarderanno principalmente:

  • trattamenti di dati personali effettuati da Enti pubblici relativamente alla c.d. medicina di iniziativa, un nuovo modello organizzativo-assistenziale proattivo volto alla gestione dei pazienti affetti da patologie croniche;
  • trattamenti di dati relativi alla salute effettuati da società multinazionali operanti nel settore farmaceutico e sanitario;
  • trattamento di dati personali effettuati nel quadro dei servizi bancari on line;
  • trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing);
  • trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica;
  • trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR;
  • trattamenti di dati personali effettuati da società private ed Enti pubblici per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center;
  • trattamenti di dati personali effettuati da società per attività di marketing;
  • trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;
  • trattamenti di dati personali effettuati da società rientranti nel settore denominato Food Delivery;
  • trattamento di dati personali effettuati da società private in tema di banche reputazionali;
  • casi di violazione di dati personali (c.d. data breach).

Se, dunque, si prende in considerazione il piano ispettivo 2019, appare evidente come permanga l’interesse del Garante per alcuni specifici settori:

  • istituti bancari, questa volta con riferimento ai servizi on-line;
  • società che svolgono attività di trattamento in ambito di marketing;
  • enti pubblici;
  • fatturazione elettronica;
  • attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;
  • whistleblowing;
  • Food Delivery,

mentre è dato nuovo spazio agli accertamenti conseguenti a violazioni di dati personali / data breach e settore sanitario e farmaceutico.

Resta ovviamente fermo che L’Autorità potrà svolgere ulteriori attività ispettive e di revisione d’ufficio, oltre che a seguito di segnalazioni e reclami.

Il provvedimento specifica come i controlli verteranno sui profili sostanziali, saranno soprattutto diretti a verificare:

  • presupposti di liceità del trattamento, 
  • condizioni per il consenso
  • rispetto dell’obbligo di informativa
  • durata della conservazione dei dati.

Non potrà essere considerato sufficiente, dunque, un rispetto meramente formale alla normativa privacy, ma dovrà essere utilizzato un approccio sostanziale, che accanto agli aspetti giuridici e tecnico-informatici preveda una revisione dei processi aziendali e una adeguata formazione di dipendenti e collaboratori.