Come scrivere una nomina a responsabile del trattamento dei dati conforme al GDPR? Le indicazioni del Garante   Da un provvedimento dell’Autorità Garante ricaviamo alcune importanti considerazioni su come sviluppare un contratto fra titolare e responsabile del trattamento che sia conforme…

Il Regolamento sull’IA è qui: quali obblighi per le aziende che utilizzano sistemi di Intelligenza Artificiale?   In seguito all’accordo raggiunto con gli stati membri dell’UE, il Parlamento europeo ha approvato, lo scorso 13 marzo 2024, il Regolamento sull’Intelligenza Artificiale (IA).…

Come scrivere l’informativa privacy? Le accortezze per scrivere un’informativa veramente conforme   Il Regolamento UE in materia di protezione dei dati personali (GDPR), agli articoli 13 e 14, elenca una serie di elementi che devono necessariamente essere inclusi nell’informativa privacy. Basta…

È sempre necessario predisporre l’informativa privacy?   Il Regolamento europeo in materia di protezione dei dati personali (GDPR) prevede diverse eccezioni all’obbligo di predisporre e fornire l’informativa privacy agli interessati. Anche il Garante per la protezione dei dati personali ha emanato,…

Garante privacy: differita l’efficacia del documento di indirizzo sui metadati.Quando gli obblighi previsti diverranno applicabili?    A pochi giorni di distanza dal comunicato con cui il Garante diffondeva il “Documento di indirizzo sulla conservazione dei metadati”, la stessa Autorità ha deciso…

Con chi si interfaccia il DPO e con quali modalità? I risultati del CEF 2023    Dall’indagine condotta dalle Autorità europee sul ruolo del DPO (il CEF 2023, ne abbiamo parlato qui), sono emersi alcuni dati preoccupanti: spesso i Responsabili della…

Nuova Linea di Indirizzo del Garante per la Protezione dei Dati sul Trattamento dei metadati e mail nelle aziende    Il Garante per la protezione dei dati personali ha recentemente introdotto una nuova linea di indirizzo che riguardano la gestione dei…

Data Protection Officer e conflitto di interesse: DPO interno o DPO esterno? Questo è il problema    La recente indagine condotta dalle Autorità europee in materia di protezione dei dati ha rilevato molteplici situazioni di Responsabili della Protezione dei Dati (DPO)…

Colpa d’organizzazione e responsabilità D.Lgs. 231       La recente sentenza 4210/2024 della Cassazione ribadisce un principio fondamentale riguardo alla responsabilità amministrativa delle società e degli enti: l'essenza colposa della responsabilità dell'ente per reati commessi nell'interesse o a vantaggio…

La proposta di riforma della Direttiva ePrivacy è finita su un binario morto               La Direttiva ePrivacy del 2002 rappresenta uno strumento legale fondamentale per la privacy nell'era digitale, questa si concentra specificatamente sulla…

Novità in materia di attività ispettiva: cosa aspettarsi durante il secondo semestre 2023 e come farsi trovare preparati

La Deliberazione pubblicata nel mese di agosto dal Garante per la protezione dei dati personali, relativa alle attività ispettive condotte nel secondo semestre del 2023, anche per mezzo della Guardia di finanza, presenta delle novità importanti. Nell’articolo di oggi vediamo di cosa si tratta e facciamo il punto sulle modalità di svolgimento delle ispezioni.

 

La Deliberazione pubblicata nel mese di agosto dal Garante per la protezione dei dati personali, relativa alle attività ispettive condotte nel secondo semestre del 2023, anche per mezzo della Guardia di finanza, presenta delle novità importanti. Nell’articolo di oggi vediamo di cosa si tratta e facciamo il punto sulle modalità di svolgimento delle ispezioni.

Le caratteristiche del Piano ispettivo

In via preliminare, giova ricordare che la programmazione delle attività ispettive deriva dal Regolamento interno dell’Autorità Garante, n. 1/2019, il quale prevede la pubblicazione, a cadenza semestrale, di una Delibera contenente l’«Attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza».

La Delibera, quindi, definisce il Piano delle attività ispettive, ovvero i settori che saranno sottoposti ad accertamenti, le categorie di soggetti coinvolti (titolari del trattamento privati e/o pubblici), nonché il numero di controlli programmati. Le premesse chiariscono lo scopo del Piano ispettivo, ovvero:

  • stabilire le priorità, in relazione alle risorse disponibili; 
  • individuare princìpi e criteri che devono informare l’attività ispettiva di iniziativa. 

Nel determinare l’oggetto degli accertamenti, l’Autorità Garante considera i procedimenti ispettivi e sanzionatori in essere, in quanto già avviati sulla base della precedente programmazione. 

Il Piano del primo semestre 2023, ad esempio, era incentrato proprio sul completamento delle attività ispettive già iniziate nel corso del secondo semestre dell’anno 2022. Il nuovo Piano ispettivo relativo al secondo semestre 2023, invece, presenta delle interessanti peculiarità. 

Novità per il secondo semestre dell’anno

In relazione al periodo luglio/dicembre 2023, infatti, il Piano prevede:

“a) accertamenti nel settore della statistica e della ricerca scientifica con specifico riferimento alle misure di cui all’art. 89 del Regolamento e in particolare alla tematica della pseudonimizzazione;

b) accertamenti sui trattamenti di dati personali da parte di operatori del settore energetico con specifico riferimento all’attivazione di contratti non richiesti e allo svolgimento di attività di telemarketing, nell’attuale contesto di superamento del c.d. mercato tutelato;

c) accertamenti riferiti ai trattamenti di dati biometrici mediante riconoscimento facciale, (anche) nell’ambito del rapporto di lavoro;

d) prosecuzione delle ispezioni sui gestori dell’identità digitale (SPID) e sui soggetti di cui essi si avvalgono per il rilascio di servizi fiduciari (SPID e firma digitale) nonché sui fornitori di servizi che utilizzano SPID e CIE nell’ambito di servizi online (offerti anche tramite APP);

e) prosecuzione delle verifiche in ordine alla corretta implementazione delle Linee guida sui cookie e gli altri strumenti di tracciamento anche attraverso lo strumento degli accertamenti on line;

f) altri accertamenti nei confronti di soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, ivi incluse le istruttorie relative a reclami e segnalazioni formali proposti all’Autorità ed in istruttoria presso i relativi Dipartimenti e Servizi”.

 

Rispetto all’attività condotta dall’Autorità Garante nei periodi precedenti, la novità è data dall’introduzione nel Piano, per la prima volta da quando il GDPR è divenuto applicabile, di controlli relativi al settore della statistica e della ricerca scientifica, con specifico riferimento alle misure di cui all’art. 89 del Regolamento e in particolare alla tematica della pseudonimizzazione. Dovranno quindi prestare particolare attenzione le università, gli enti o istituti di ricerca e le società scientifiche, nonché i ricercatori che operano nell’ambito di dette università, enti, istituti di ricerca e soci di dette società scientifiche. Per favorire l’applicazione delle norme da parte di questi soggetti, siano essi pubblici o privati, si ricorda che il Garante ha pubblicato ed aggiornato nel 2019 le “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica”, che includono disposizioni specifiche in materia di “Identificabilità dell’interessato”.

 

Modalità di svolgimento dei controlli 

Come di consueto, i controlli saranno svolti mediante accertamento in loco, curato dal personale dell’Ufficio o delegato alla Guardia di finanza, ovvero nei luoghi dove si effettuano i trattamenti di dati o nei quali occorre effettuare rilevazioni.

Al tempo stesso, l’Autorità si riserva di ricorrere al format operativo delle verifiche da remoto, modalità di svolgimento dei controlli che si è rivelata molto utile in quanto, come dichiarato dallo stesso Garante, “per la sua intrinseca agilità di esecuzione, permette, quando la tipologia dei controlli da effettuare lo consente, un maggior numero di interventi, moltiplicando così la possibilità per il Garante di effettuare accertamenti su ampie platee di titolari del trattamento, contribuendo ad assicurare, di conseguenza, un maggior grado di effettività alla normativa di settore ed alle linee interpretative dell’Autorità”. In particolare, nell’ultima relazione annuale si legge che gli accertamenti online hanno trovato terreno fertile nell’ambito delle verifiche in ordine all’applicazione delle “Linee guida cookie e altri strumenti di tracciamento”. I controlli relativi all’utilizzo di cookie e alla conformità alle citate Linee guida continuano, sin dal primo semestre 2022, a caratterizzare il piano ispettivo (vedi lettera e)).

Numeri previsti e considerazioni

Seguendo le modalità sopra descritte, l’attività ispettiva di iniziativa comprenderà almeno 35 accertamenti ispettivi, effettuati anche a mezzo della Guardia di finanza. Resta fermo che il Garante potrà svolgere ulteriori attività istruttorie d’ufficio, o in relazione a specifiche segnalazioni o reclami. Più nel dettaglio, in relazione a tali meccanismi di tutela delle persone fisiche, si evidenzia che, dal momento in cui il GDPR è divenuto applicabile al 30 giugno 2023, l’Autorità ha ricevuto 143.628 reclami e segnalazioni, di cui 33.786 solo nel periodo compreso fra il primo aprile ed il 30 giugno di quest’anno. 

 

FonteREGOLAMENTO UE – Il bilancio di applicazione dal 25 maggio 2018 al 30 giugno 2023

Ogni anno, la maggior parte dei provvedimenti collegiali dell’Autorità Garante per la protezione dei dati personali prende le mosse proprio a seguito della ricezione di doglianze da parte dei diretti interessati o di associazioni di rappresentanza. In casi minori sono altre Autorità a trasmettere note di segnalazione (Polizia di Stato, Questura, Guardia di Finanza).

Ricordiamo, infatti, che gli accertamenti ispettivi possono scaturire da molteplici fonti: 

  • Reclami degli interessati ex art. 77 GDPR e artt. da 140-bis a 143 del Codice Privacy;
  • Segnalazioni da parte di chiunque ex art. 144 del Codice;
  • Comunicazione della Procura della Repubblica;
  • Notifiche di Data Breach da parte del Titolare o del Responsabile ex art. 33 GDPR;
  • Avvio d’ufficio, sulla base del piano ispettivo semestrale.

Tutti questi profili di rischio vanno adeguatamente presidiati dal titolare del trattamento, che, in caso di ispezione, dovrà farsi trovare pronto. 

Quali azioni?

In primo luogo si consiglia di mettere a disposizione degli interessati un canale dedicato alle istanze privacy (es. privacy@nomesocietà.it/com, assistenzaprivacy@nomesocietà.it/com), in abbinamento ad una procedura dedicata, volta ad istruire il personale rispetto alle modalità e alle tempistiche per fornire riscontro. 

Per quanto fondamentale, tuttavia, tale procedura non esclude che gli interessati possano comunque rivolgersi al Garante. In caso di visite ispettive, è quindi essenziale che il titolare sia in grado di affrontare gli accertamenti e fornire riscontro alle richieste di informazioni in termini congrui, prevedendo le principali azioni da intraprendere durante le diverse fasi dell’indagine. Accontability, infatti, significa anche saper gestire le richieste dell’Autorità, coinvolgendo le figure necessarie e fornendo un riscontro completo, veritiero e supportato dalla giusta documentazione e dalle giuste argomentazioni.

Per ulteriori informazioni ed una guida su come affrontare le ispezioni, clicca qui .

Per approfondire l’argomento ti ricordiamo che il 3 ottobre è in partenza il Corso di Alta Formazione, arrivato alla 55esima edizione. Il corso include una giornata interamente dedicata alla disamina di ispezioni e sanzioni (MODULO 5 | Training on the job & analisi sanzioni Garante), con casi pratici e best practices per la gestione di eventuali controlli da parte del nucleo Privacy della Guardia di Finanza. Clicca qui per accedere al catalogo corsi.

 
Follow us on
Our Gallery