Piano ispettivo del Garante 2016, ecco chi sarà coinvolto

Approvato, dal Garante per la protezione dei dati personali, il piano ispettivo per il primo semestre 2016. Con deliberazione del 10 marzo l’Autorità ha definito i settori di interesse dell’attività di accertamento, che sarà realizzata con l’ausilio del Nucleo speciale privacy della Guardia di Finanza. Limitatamente al periodo gennaio – giugno 2016 le verifiche, circa 150 quelle programmate, riguarderanno ambiti che possono evidenziare criticità importanti e la cui regolamentazione sta vivendo una fase evolutiva. Il settore sanitario, ad esempio, dove l’istruzione del dossier elettronico dovrebbe comportare (e spesso così non è) una revisione dei sistemi informativi e dell’interazione degli operatori con essi, nel rispetto dei diritti dell’interessato. Attenzione alta anche per i trattamenti effettuati da multinazionali che, intra-gruppo, trasferiscono dati al di fuori dell’Unione Europea. Dopo il terremoto Safe Harbor ed il recente accordo noto come “Privacy Shield”, sotto l’occhio del Garante saranno le garanzie contenute nelle BCR (Binding Corporate Rules), che contrattualmente vincolano le società di un Gruppo al rispetto di una policy privacy condivisa che può efficacemente sostenere la necessità di trasferire dati in modo sicuro per gli interessati. Controlli anche in ambito bancario, da sempre considerato ‘core’ sul fronte sicurezza del dato, che dovrà dimostrare di aver correttamente recepito le misure contenute nel provvedimento relativo alla “tracciabilità delle operazioni”.

Per quanto significativi, non sono questi gli unici soggetti che saranno sottoposti ad attività ispettiva. Nella delibera sono citati anche:

• società investigative;
• attività dei CAF connessa alla trasmissione online del 730 precompilato;
• area delle società di recupero crediti e delle agenzie di ricerca del personale
• soggetti pubblici e privati che effettuino trattamenti di dati sensibili, con particolare riferimento alla corretta adozione o meno delle misure minime di sicurezza richieste

Le ispezioni riguarderanno, come di prassi, anche le istruttorie avviate su segnalazioni, reclami e ricorsi dei cittadini e soprattutto la verifica dell’obbligo di notificazione ed il rispetto delle norme sull’informativa e il consenso. In quest’ultimo punto il Garante cita e sottolinea (90 le attività ispettive previste) concetti chiave quali la “pertinenza e non eccedenza nel trattamento” e la durata della conservazione dei dati.

Un rafforzamento su questi aspetti dovuto anche agli esiti dell’attività ispettiva del 2015 durante la quale, oltre all’ incremento delle sanzioni contestate (+190%) rispetto all’anno precedente, sono emerse gravi carenze proprio sul fronte informazione agli utenti e tempi di conservazione dei dati raccolti.

Le verifiche effettuate tanto nell’ambito privato (trattamento di dati da parte di software house, geolocalizzazione dei dipendenti, marketing telefonico, istituti bancari) quanto nel settore pubblico (fiscalità, sanità elettronica), hanno contestato circa 1700 sanzioni e portato a 33 segnalazioni all’autorità giudiziaria (molte connesse a violazioni sul controllo a distanza dei lavoratori).

L’approvazione del piano ispettivo per il primo semestre 2016 non può non richiamare il Regolamento europeo sulla data protection (GDPR). Per quanto non ancora pubblicato come testo definitivo, è evidente che abbia influenza sul prossimo operato dell’Autorità Garante. E i punti di maggior interesse dell’attività ispettiva prevista lo dimostrano: tracciabilità, sicurezza, trasferimento dati extra UE, rispetto dei principi di proporzionalità e non eccedenza del trattamento, consenso libero e informato che ponga nelle mani dell’interessato il reale controllo dei dati personali che lo riguardano.

Principi fondanti confermati anche in un recente provvedimento, emanato a seguito di richiesta di verifica preliminare, inerente l’uso di sistemi di riconoscimento facciale, per soggetti che richiedano un finanziamento, al fine di limitare danni da furto di identità. Era previsto di acquisire i dati biometrici dei possibili clienti, tramite scansione della fotografia del documento d’identità, al quale sarebbe seguito l’inserimento dei dati raccolti, in forma criptata e storicizzata, in una banca dati e il raffronto con dati già censiti o presenti in altri archivi, allo scopo di accertarne l’identità. Giudicando inesistente la proporzionalità di questo sistema e valutandone i possibili abusi nell’utilizzo, anche in considerazione dell’inidoneità delle misure di sicurezza previste, il Garante ha condannato l’uso generalizzato ed incontrollato dei dati biometrici dei clienti, negando alla Società richiedente l’effettuazione di ogni operazione di trattamento al riguardo.