L’Autorità Garante per la Protezione dei Dati Personali ha reso noti i criteri e i principi relativi all’attività ispettiva per il secondo semestre 2020, anche in collaborazione con il Nucleo Speciale Tutela Privacy e Frodi Informatiche della Guardia di Finanza.
I trattamenti indicati nel piano ispettivo 2020
Gli accertamenti, secondo il Provvedimento n. 171/2020, riguarderanno principalmente:
- trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing);
- trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica;
- trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR;
- trattamenti di dati personali effettuati da società private ed Enti pubblici per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center;
- trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”;
- trattamento di dati personali effettuati da società private in tema di banche reputazionali;
- violazioni di dati personali (“data breach”).
Resta ovviamente fermo che l’Autorità potrà svolgere ulteriori attività ispettive e di revisione d’ufficio in caso di eventi di particolare rilevanza, oltre che a seguito di segnalazioni e reclami.
I profili oggetto di verifica per il piano ispettivo 2020
I controlli verteranno sui profili sostanziali e saranno diretti a verificare, in particolar modo:
- presupposti di liceità del trattamento,
- condizioni per il consenso,
- rispetto dell’obbligo di informativa,
- tempo di conservazione dei dati.
Non potrà essere considerato sufficiente, dunque, un rispetto meramente formale della normativa privacy, ma dovrà essere utilizzato un approccio sostanziale, che accanto agli aspetti giuridici e tecnico-informatici preveda una revisione dei processi aziendali e una adeguata formazione di dipendenti e collaboratori.