Pubblicato il nuovo piano ispettivo del Garante. Parola d’ordine: continuità


Con la Deliberazione del 1° ottobre 2020, pubblicata attraverso la newsletter del 26/10/2020, la rinnovata Autorità Garante per la protezione dei dati personali, composta da Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia e Guido Scorza, ha definito il piano ispettivo relativo al secondo semestre del 2020.

La Deliberazione in esame determina i settori o gli ambiti di trattamento su cui si concentrerà l’attività ispettiva curata dall’Ufficio dell’Autorità Garante, con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, in relazione al periodo da luglio a dicembre.

I punti chiave del nuovo piano ispettivo

Il piano si sviluppa tenendo conto dei procedimenti ispettivi in corso, nonché di quelli avviati sulla base della precedente programmazione e non ancora conclusi. Da una comparazione fra il piano ispettivo relativo al primo semestre, contenuto nella Deliberazione del 06/02/2020, e il piano ispettivo relativo al secondo semestre, infatti, emerge la volontà di garantire piena continuità alle operazioni in corso. Le verifiche riguarderanno i trattamenti di dati svolti nell’ambito di settori particolarmente delicati per la privacy, quali:

  • I “trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing)”
  • I “trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica”
  • I “trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR”.

Nella Deliberazione rientrano anche trattamenti effettuati:

  • Nell’ambito di call center (“da società private ed Enti pubblici per la gestione e la registrazione delle telefonate”)
  • Da società che operano nel settore del cosiddetto “rating reputazionale”
  • Da società rientranti nel settore denominato “Food Delivery”.

Nella newsletter, il Garante richiama anche le altre ispezioni programmate, indirizzate a verificare il rispetto delle norme nel rilascio di certificati tramite l’Anagrafe nazionale della popolazione residente, e nell’attività di marketing, sia nel settore pubblico che privato. I controlli si concentreranno anche sull’adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano categorie particolari di dati personali.

I controlli su reclami o segnalazioni, qualche dato

Inoltre, resta ferma la possibilità che l’Ufficio dell’Autorità Garante svolga ulteriori attività ispettive e di revisione d’ufficio ovvero in relazione a segnalazioni o reclami proposti. Tale previsione rappresenta un importante campanello di allarme per le imprese, soprattutto in considerazione dei dati emersi nell’ultima relazione annuale dell’attività del Garante, pubblicata il 23 giugno 2020.

Nel corso del 2019, infatti, l’Ufficio del Garante ha fornito riscontro a più di 8000 riscontri e segnalazioni da parte di interessati. Dato che, a poco più di un biennio dall’applicazione del GDPR, ci fa capire come la sensibilità dei cittadini verso la tematica privacy sia aumentata, così come è aumentata la consapevolezza circa i diritti esercitabili.

Proprio per tale ragione, è di fondamentale importanza per l’impresa titolare del trattamento dotarsi di procedure volte a gestire le istanze privacy, in modo da agevolare l’esercizio dei diritti degli interessati e garantire riscontro immediato, facilmente comprensibile e completo.

I profili del trattamento sotto controllo

Così come previsto nel piano ispettivo relativo al primo semestre, i controlli si svolgeranno con specifica attenzione verso i profili sostanziali del trattamento, in grado di influire significativamente sugli interessati, e verteranno in particolare su:

  • I presupposti di liceità del trattamento;
  • le condizioni per il consenso qualora il trattamento sia basato su tale presupposto;
  • sul rispetto dell’obbligo dell’informativa;
  • sulla durata della conservazione dei dati.

Le violazioni di dati personali

Sotto esame anche le violazioni di dati personali (data breach), violazioni che, secondo l’Agenzia europea per la sicurezza delle reti e delle informazioni (ENISA) hanno subito un cospicuo incremento negli ultimi anni (l’aumento del numero di violazioni a metà del 2019, rispetto allo stesso periodo del 2018, è stato del 54%). Buona parte delle sanzioni comminate dall’Autorità nel corso del 2019 e dell’anno in corso, derivano proprio da casi di data breach.

Al fine di informare circa le corrette modalità di prevenzione, l’ENISA fornisce ai titolari del trattamento alcune importanti raccomandazioni, di seguito riassunte:

  • Sviluppare e mantenere un piano di sensibilizzazione alla sicurezza informatica. Fornire scenari di formazione e simulazione per identificare le campagne di social engineering e phishing per il personale.
  • Istituire e mantenere un team di risposta agli incidenti e valutare frequentemente i piani di risposta agli incidenti.
  • Identificare e classificare i dati sensibili/personali e applicare misure per la cifratura di tali dati in transito e a riposo.
  • Aumentare gli investimenti in strumenti di rilevamento e di allerta e nella capacità di contenere e rispondere ad una violazione dei dati.
  • Sviluppare e mantenere politiche interne che favoriscano l’applicazione di password forti (gestione delle password) e l'uso dell'autenticazione a più fattori.
  • Sviluppare e mantenere politiche interne per la gestione delle violazioni, che prevedano il coinvolgimento dei team di governance, di gestione del rischio e di conformità.

Articolo a cura di Federico Corti | Data Protection Consultant, Labor Project

Se ti è piaciuto l'articolo condividi: