Piano ispettivo Garante Privacy luglio – dicembre 2019


Il Garante per la Protezione dei dati personali con la delibera del 12 settembre 2019 ha pubblicato il piano ispettivo per il semestre luglio – dicembre 2019 (100 accertamenti ispettivi fatto salvo ulteriori attività ispettive e di revisione d’ufficio in relazione a segnalazioni o reclami).

Con la stessa deliberazione il Garante ha ribadito che si avvarrà del contributo delle Unità Speciali della Guardia di Finanza, meglio conosciute come Nucleo Speciale Privacy, per le attività di ispezione e controllo presso le aziende. Le attività ispettive mirano a verificare la compliance delle aziende al Regolamento Privacy UE 2016/679 ed alla normativa nazionale sul rispetto della privacy degli interessati. Infatti, il mancato rispetto potrebbe portare a sanzioni fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

Attività ispettiva

Il Garante per la protezione dei dati personali ha individuato diverse tipologie di trattamenti, infatti i controlli saranno orientati a:

a) accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:

  • trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing)
  • trattamenti di dati personali effettuati da Istituti bancari, con particolare riferimento ai flussi verso l’anagrafe dei conti
  • trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica
  • trattamenti dei dati personali effettuati da società per attività di marketing
  • trattamenti dei dati personali effettuati da Enti Pubblici, con riferimento a banche dati di notevoli dimensioni
  • trattamenti dei dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione
  • trattamenti dei dati personali effettuati da società rientranti nel settore denominato “Food Delivery
  • trattamenti dei dati personali in ambito sanitario effettuati da parte di società private.

b) controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati.

Continuità e novità rispetto al piano ispettivo gennaio – giungo 2019

Il Garante per la protezione dei dati personali ha inteso dare continuità al piano ispettivo relativo al primo semestre del 2019. Infatti, nella lista del nuovo piano ispettivo risultano sotto la lente di ingrandimento:

  • gli istituti bancari
  • le società che svolgono trattamenti di dati personali per attività di marketing
  • Enti Pubblici
  • Società che svolgono attività di profilazione tramite carte di fidelizzazione

Rispetto al primo semestre sono presenti delle novità sulle attività che saranno attenzionate dal Garante. Infatti, le attività di whistleblowing, fatturazione elettronica, food delivery e i trattamenti di dati sanitari operati da società private entrano nel mirino delle attività ispettive. Questa scelta, molto probabilmente, è da inquadrare nell’ottica delle modalità in cui i trattamenti vengono effettuati poiché consistono nel trattamento di una grande quantità di dati effettuato con mezzi automatizzati e nell’ottica di una maggiore tutela dell’interessato in riferimento a particolari attività e trattamenti in cui sono richiesti maggiori attenzioni (whistleblowing e trattamento di dati sanitari).

Escono dal mirino del Garante i trattamenti effettuati dall’ISTAT e dalle società di rilascio del Sistema Pubblico per l’Identità Digitale (SPID) che, però, non devono sentirsi sollevate dal rispetto delle normative privacy in quanto, come già detto, sono possibili ispezioni del Garante in conseguenza a segnalazioni o reclami da parte degli interessati.

Va ricordato che comunque anche le aziende non rientranti nelle categorie individuate non possono esimersi dal rispetto del GDPR e dalla dimostrazione della loro accountability sia perché il Garante potrebbe effettuare ispezioni sulla base di segnalazioni o reclami, sia perché potrebbero rientrare nei prossimi piani ispettivi dell’Autorità Garante.

Se ti è piaciuto l'articolo condividi: