Novità in materia di attività ispettiva: cosa aspettarsi durante il secondo semestre 2023 e come farsi trovare preparati

La Deliberazione pubblicata nel mese di agosto dal Garante per la protezione dei dati personali, relativa alle attività ispettive condotte nel secondo semestre del 2023, anche per mezzo della Guardia di finanza, presenta delle novità importanti. Nell’articolo di oggi vediamo di cosa si tratta e facciamo il punto sulle modalità di svolgimento delle ispezioni.

Le caratteristiche del Piano ispettivo

In via preliminare, giova ricordare che la programmazione delle attività ispettive deriva dal Regolamento interno dell’Autorità Garante, n. 1/2019, il quale prevede la pubblicazione, a cadenza semestrale, di una Delibera contenente l’«Attività ispettiva di iniziativa curata dall'Ufficio del Garante, anche per mezzo della Guardia di finanza».

La Delibera, quindi, definisce il Piano delle attività ispettive, ovvero i settori che saranno sottoposti ad accertamenti, le categorie di soggetti coinvolti (titolari del trattamento privati e/o pubblici), nonché il numero di controlli programmati. Le premesse chiariscono lo scopo del Piano ispettivo, ovvero:

• stabilire le priorità, in relazione alle risorse disponibili; 
• individuare princìpi e criteri che devono informare l’attività ispettiva di iniziativa. 

Nel determinare l’oggetto degli accertamenti, l’Autorità Garante considera i procedimenti ispettivi e sanzionatori in essere, in quanto già avviati sulla base della precedente programmazione. 

Il Piano del primo semestre 2023, ad esempio, era incentrato proprio sul completamento delle attività ispettive già iniziate nel corso del secondo semestre dell’anno 2022. Il nuovo Piano ispettivo relativo al secondo semestre 2023, invece, presenta delle interessanti peculiarità. 

Novità per il secondo semestre dell’anno

In relazione al periodo luglio/dicembre 2023, infatti, il Piano prevede:

“a) accertamenti nel settore della statistica e della ricerca scientifica con specifico riferimento alle misure di cui all’art. 89 del Regolamento e in particolare alla tematica della pseudonimizzazione;

b) accertamenti sui trattamenti di dati personali da parte di operatori del settore energetico con specifico riferimento all’attivazione di contratti non richiesti e allo svolgimento di attività di telemarketing, nell’attuale contesto di superamento del c.d. mercato tutelato;

c) accertamenti riferiti ai trattamenti di dati biometrici mediante riconoscimento facciale, (anche) nell’ambito del rapporto di lavoro;

d) prosecuzione delle ispezioni sui gestori dell’identità digitale (SPID) e sui soggetti di cui essi si avvalgono per il rilascio di servizi fiduciari (SPID e firma digitale) nonché sui fornitori di servizi che utilizzano SPID e CIE nell’ambito di servizi online (offerti anche tramite APP);

e) prosecuzione delle verifiche in ordine alla corretta implementazione delle Linee guida sui cookie e gli altri strumenti di tracciamento anche attraverso lo strumento degli accertamenti on line;

f) altri accertamenti nei confronti di soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, ivi incluse le istruttorie relative a reclami e segnalazioni formali proposti all’Autorità ed in istruttoria presso i relativi Dipartimenti e Servizi”.

Rispetto all’attività condotta dall’Autorità Garante nei periodi precedenti, la novità è data dall’introduzione nel Piano, per la prima volta da quando il GDPR è divenuto applicabile, di controlli relativi al settore della statistica e della ricerca scientifica, con specifico riferimento alle misure di cui all’art. 89 del Regolamento e in particolare alla tematica della pseudonimizzazione. Dovranno quindi prestare particolare attenzione le università, gli enti o istituti di ricerca e le società scientifiche, nonché i ricercatori che operano nell’ambito di dette università, enti, istituti di ricerca e soci di dette società scientifiche. Per favorire l’applicazione delle norme da parte di questi soggetti, siano essi pubblici o privati, si ricorda che il Garante ha pubblicato ed aggiornato nel 2019 le “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica”, che includono disposizioni specifiche in materia di “Identificabilità dell’interessato”.

Modalità di svolgimento dei controlli 

Come di consueto, i controlli saranno svolti mediante accertamento in loco, curato dal personale dell’Ufficio o delegato alla Guardia di finanza, ovvero nei luoghi dove si effettuano i trattamenti di dati o nei quali occorre effettuare rilevazioni.

Al tempo stesso, l’Autorità si riserva di ricorrere al format operativo delle verifiche da remoto, modalità di svolgimento dei controlli che si è rivelata molto utile in quanto, come dichiarato dallo stesso Garante, “per la sua intrinseca agilità di esecuzione, permette, quando la tipologia dei controlli da effettuare lo consente, un maggior numero di interventi, moltiplicando così la possibilità per il Garante di effettuare accertamenti su ampie platee di titolari del trattamento, contribuendo ad assicurare, di conseguenza, un maggior grado di effettività alla normativa di settore ed alle linee interpretative dell’Autorità”. In particolare, nell’ultima relazione annuale si legge che gli accertamenti online hanno trovato terreno fertile nell’ambito delle verifiche in ordine all’applicazione delle “Linee guida cookie e altri strumenti di tracciamento”. I controlli relativi all’utilizzo di cookie e alla conformità alle citate Linee guida continuano, sin dal primo semestre 2022, a caratterizzare il piano ispettivo (vedi lettera e)).

Numeri previsti e considerazioni

Seguendo le modalità sopra descritte, l’attività ispettiva di iniziativa comprenderà almeno 35 accertamenti ispettivi, effettuati anche a mezzo della Guardia di finanza. Resta fermo che il Garante potrà svolgere ulteriori attività istruttorie d’ufficio, o in relazione a specifiche segnalazioni o reclami. Più nel dettaglio, in relazione a tali meccanismi di tutela delle persone fisiche, si evidenzia che, dal momento in cui il GDPR è divenuto applicabile al 30 giugno 2023, l’Autorità ha ricevuto 143.628 reclami e segnalazioni, di cui 33.786 solo nel periodo compreso fra il primo aprile ed il 30 giugno di quest’anno. 

Fonte: REGOLAMENTO UE - Il bilancio di applicazione dal 25 maggio 2018 al 30 giugno 2023

Ogni anno, la maggior parte dei provvedimenti collegiali dell’Autorità Garante per la protezione dei dati personali prende le mosse proprio a seguito della ricezione di doglianze da parte dei diretti interessati o di associazioni di rappresentanza. In casi minori sono altre Autorità a trasmettere note di segnalazione (Polizia di Stato, Questura, Guardia di Finanza).

Ricordiamo, infatti, che gli accertamenti ispettivi possono scaturire da molteplici fonti: 

• Reclami degli interessati ex art. 77 GDPR e artt. da 140-bis a 143 del Codice Privacy;
• Segnalazioni da parte di chiunque ex art. 144 del Codice;
• Comunicazione della Procura della Repubblica;
• Notifiche di Data Breach da parte del Titolare o del Responsabile ex art. 33 GDPR;
• Avvio d’ufficio, sulla base del piano ispettivo semestrale.

Tutti questi profili di rischio vanno adeguatamente presidiati dal titolare del trattamento, che, in caso di ispezione, dovrà farsi trovare pronto. 

Quali azioni?

In primo luogo si consiglia di mettere a disposizione degli interessati un canale dedicato alle istanze privacy (es. privacy@nomesocietà.it/com, assistenzaprivacy@nomesocietà.it/com), in abbinamento ad una procedura dedicata, volta ad istruire il personale rispetto alle modalità e alle tempistiche per fornire riscontro. 

Per quanto fondamentale, tuttavia, tale procedura non esclude che gli interessati possano comunque rivolgersi al Garante. In caso di visite ispettive, è quindi essenziale che il titolare sia in grado di affrontare gli accertamenti e fornire riscontro alle richieste di informazioni in termini congrui, prevedendo le principali azioni da intraprendere durante le diverse fasi dell’indagine. Accontability, infatti, significa anche saper gestire le richieste dell’Autorità, coinvolgendo le figure necessarie e fornendo un riscontro completo, veritiero e supportato dalla giusta documentazione e dalle giuste argomentazioni.

Per ulteriori informazioni ed una guida su come affrontare le ispezioni, clicca qui .

Per approfondire l’argomento ti ricordiamo che il 3 ottobre è in partenza il Corso di Alta Formazione, arrivato alla 55esima edizione. Il corso include una giornata interamente dedicata alla disamina di ispezioni e sanzioni (MODULO 5 | Training on the job & analisi sanzioni Garante), con casi pratici e best practices per la gestione di eventuali controlli da parte del nucleo Privacy della Guardia di Finanza. Clicca qui per accedere al catalogo corsi.