L’Autorità Garante per la Protezione dei Dati Personali ha reso noti i criteri e i principi relativi all’attività ispettiva per il secondo semestre 2023, anche in collaborazione con il Nucleo Speciale Tutela Privacy e Frodi Informatiche della Guardia di Finanza.
I trattamenti indicati nel piano ispettivo 2023
Gli accertamenti, secondo la Deliberazione del 3 agosto 2023, riguarderanno principalmente:
a) settore della statistica e della ricerca scientifica, con specifico riferimento alle misure di cui all’art. 89 del Regolamento (volte a fornire garanzie adeguate per i diritti e le libertà degli interessati) ed in particolare alla pseudonimizzazione;
b) trattamenti di dati personali da parte di operatori del settore energetico, con specifico riferimento all’attivazione di contratti non richiesti e alle attività di telemarketing;
c) trattamenti di dati biometrici mediante riconoscimento facciale, (anche) nell’ambito del rapporto di lavoro;
d) prosecuzione delle ispezioni sui gestori dell’identità digitale (SPID) e sui soggetti di cui essi si avvalgono per il rilascio di servizi fiduciari (SPID e firma digitale) nonché sui fornitori di servizi che utilizzano SPID e CIE nell’ambito di servizi online (offerti anche tramite APP);
e) prosecuzione delle verifiche circa la corretta implementazione delle Linee guida sui cookie e gli altri strumenti di tracciamento anche attraverso lo strumento degli accertamenti online;
f) soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, ivi incluse le istruttorie relative a reclami e segnalazioni formali proposti all’Autorità ed in istruttoria presso i relativi Dipartimenti e Servizi.
L’attività ispettiva così programmata riguarderà almeno 35 accertamenti ispettivi di iniziativa, effettuati anche mediante delega alla Guardia di finanza, ma resta ovviamente fermo che l’Ufficio potrà svolgere ulteriori attività istruttorie di carattere ispettivo d’ufficio oppure in relazione a segnalazioni o reclami proposti.
Le verifiche effettuate dal Garante
È sempre bene ricordare che i controlli svolti dall’Autorità Garante, anche per mezzo della Guardia di Finanza, vertono su profili sostanziali della compliance.
Non potrà essere considerato sufficiente, dunque, un rispetto meramente formale della normativa privacy o il raggiungimento di una mera “paper compliance”, ma dovrà essere utilizzato un approccio sostanziale, che accanto agli aspetti giuridici e tecnico-informatici preveda una revisione dei processi aziendali e una adeguata formazione di dipendenti e collaboratori, nel rispetto del principio di accountability.
