L’Autorità Garante per la Protezione dei Dati Personali ha reso noti i criteri e i principi relativi all’attività ispettiva che sarà svolta per il primo semestre 2020, anche in collaborazione con il Nucleo Speciale Tutela Privacy e Frodi Informatiche della Guardia di Finanza.
Gli accertamenti, secondo il Provvedimento n. 23/2020, riguarderanno principalmente:
- trattamenti di dati personali effettuati da Enti pubblici relativamente alla c.d. medicina di iniziativa, un nuovo modello organizzativo-assistenziale proattivo volto alla gestione dei pazienti affetti da patologie croniche;
- trattamenti di dati relativi alla salute effettuati da società multinazionali operanti nel settore farmaceutico e sanitario;
- trattamento di dati personali effettuati nel quadro dei servizi bancari on line;
- trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing);
- trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica;
- trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR;
- trattamenti di dati personali effettuati da società private ed Enti pubblici per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center;
- trattamenti di dati personali effettuati da società per attività di marketing;
- trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;
- trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”;
- trattamento di dati personali effettuati da società private in tema di banche reputazionali;
- casi di violazione di dati personali (c.d. data breach).
Se, dunque, si prende in considerazione il piano ispettivo 2019, appare evidente come permanga l’interesse del Garante per alcuni specifici settori:
- istituti bancari, questa volta con riferimento ai servizi on-line;
- società che svolgono attività di trattamento in ambito di marketing;
- enti pubblici;
- fatturazione elettronica;
- attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;
- whistleblowing;
- Food Delivery,
mentre è dato nuovo spazio agli accertamenti conseguenti a violazioni di dati personali / data breach e settore sanitario e farmaceutico.
Resta ovviamente fermo che L’Autorità potrà svolgere ulteriori attività ispettive e di revisione d’ufficio, oltre che a seguito di segnalazioni e reclami.
Il provvedimento specifica come i controlli verteranno sui profili sostanziali, saranno soprattutto diretti a verificare:
- presupposti di liceità del trattamento,
- condizioni per il consenso
- rispetto dell’obbligo di informativa
- durata della conservazione dei dati.
Non potrà essere considerato sufficiente, dunque, un rispetto meramente formale alla normativa privacy, ma dovrà essere utilizzato un approccio sostanziale, che accanto agli aspetti giuridici e tecnico-informatici preveda una revisione dei processi aziendali e una adeguata formazione di dipendenti e collaboratori.