L’Autorità Garante per la Protezione dei Dati Personali ha reso noti i criteri e i principi relativi all’attività ispettiva che sarà svolta per il primo semestre 2020, anche in collaborazione con il Nucleo Speciale Tutela Privacy e Frodi Informatiche della Guardia di Finanza.

Gli accertamenti, secondo il Provvedimento n. 23/2020, riguarderanno principalmente:

• trattamenti di dati personali effettuati da Enti pubblici relativamente alla c.d. medicina di iniziativa, un nuovo modello organizzativo-assistenziale proattivo volto alla gestione dei pazienti affetti da patologie croniche;
• trattamenti di dati relativi alla salute effettuati da società multinazionali operanti nel settore farmaceutico e sanitario;
• trattamento di dati personali effettuati nel quadro dei servizi bancari on line;
• trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing);
• trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica;
• trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR;
• trattamenti di dati personali effettuati da società private ed Enti pubblici per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center;
• trattamenti di dati personali effettuati da società per attività di marketing;
• trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;
• trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”;
• trattamento di dati personali effettuati da società private in tema di banche reputazionali;
• casi di violazione di dati personali (c.d. data breach).

Se, dunque, si prende in considerazione il piano ispettivo 2019, appare evidente come permanga l’interesse del Garante per alcuni specifici settori:

• istituti bancari, questa volta con riferimento ai servizi on-line;
• società che svolgono attività di trattamento in ambito di marketing;
• enti pubblici;
• fatturazione elettronica;
• attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;
• whistleblowing;
• Food Delivery,

mentre è dato nuovo spazio agli accertamenti conseguenti a violazioni di dati personali / data breach e settore sanitario e farmaceutico.

Resta ovviamente fermo che L’Autorità potrà svolgere ulteriori attività ispettive e di revisione d’ufficio, oltre che a seguito di segnalazioni e reclami.

Il provvedimento specifica come i controlli verteranno sui profili sostanziali, saranno soprattutto diretti a verificare:

• presupposti di liceità del trattamento, 
• condizioni per il consenso
• rispetto dell’obbligo di informativa
• durata della conservazione dei dati.

Non potrà essere considerato sufficiente, dunque, un rispetto meramente formale alla normativa privacy, ma dovrà essere utilizzato un approccio sostanziale, che accanto agli aspetti giuridici e tecnico-informatici preveda una revisione dei processi aziendali e una adeguata formazione di dipendenti e collaboratori.