Piano ispettivo del Garante Privacy: quali sono i principali destinatari

18/11/2020
di Valentina Frediani

Dal Il Caffé Digitale (The Innovation Group) 

Pubblicato il piano ispettivo dell’Autorità di Controllo per la protezione dei dati personali, valido sino a fine anno 2020. L’Autorità, periodicamente, stabilisce le priorità di controllo rispetto alle risorse disponibili per poter effettuare l’attività ispettiva di iniziativa. L’impegno si concretizza in interventi in loco da parte dell’Ufficio – o delegando la Guardia di Finanza – nei luoghi dove si effettuano i trattamenti di dati; dove occorre effettuare rilevazioni comunque utili al medesimo controllo; nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni (che sono l’altra “origine” dei controlli).

Analizziamo dunque gli ambiti indicati dall’Autorità. Innanzi tutto, dobbiamo premettere che l’attività ispettiva di iniziativa è suddivisa in: “controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati” e “accertamenti in riferimento a profili di interesse generale per categorie di interessati”.

Gli accertamenti riguarderanno innanzi tutto il cosiddetto whistleblowing ovvero quei trattamenti di dati personali effettuati mediante l’uso di applicativi per la gestione delle segnalazioni di condotte illecite (si pensi al tema 231). Su questo tema era già intervenuta l’Autorità Garante perché si pone la necessità di porre particolare attenzione alle garanzie a favore degli interessati che, rilasciando informazioni funzionali a eventuali indagini su illeciti, possono dare esposizione del proprio rapporto lavorativo. Ciò ricade sugli strumenti di trattamento, dei quali occorre dimostrare l’analisi del rischio e le misure conseguenziali, ma anche sul processo organizzativo del flusso dei dati stessi e sulla loro conservazione. Sotto verifica anche la presenza di idonea informazione preventiva verso l’interessato che carica i dati di riferimento.

Destinatari degli accertamenti anche i trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica. In questo caso si tratterà di effettuare controlli funzionali alla verifica – in particolare – di tematiche connesse alla protezione, in considerazione delle importanti masse dati.

Si rinnova poi l’attenzione, prestata anche nel primo semestre 2020 con provvedimenti ad hoc, verso quelle realtà che gestiscono e registrano le telefonate nell’ambito della prestazione di servizi di call center. Le sempre frequenti segnalazioni al Garante, non fanno che evidenziare come questo ambito non sia sufficientemente gestito in conformità, in particolare laddove sussistano esternalizzazioni “selvagge” che non tengono in considerazione le prescrizioni del GDPR.

Possiamo sicuramente affermare, anche in considerazione degli esiti dei controlli come emersi dalle comunicazioni dell’Autorità, che appaiono piuttosto scarni gli accordi contrattuali e, soprattutto, raramente presenti audit adeguati da parte dei Titolari. Ciò non fa che aumentare il livello di attenzione da parte dell’Autorità.

Inoltre, condizionati dalla pandemia e dal lockdown, sotto la lente anche il settore del Food Delivery in considerazione dei dati dei consumatori sempre più oggetto di raccolta e di potenziale profilazione, oltre che massivamente trattati, che rendono necessaria una tutela effettiva.

Infine, gli accertamenti riguarderanno anche gli enti pubblici (con particolare riferimento ai sistemi di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR) ed il tema, più generico, del data breach.

Su quest’ultimo possiamo osservare come, negli ultimi mesi, il ricorso allo smart working abbia provocato un aumento importante degli attacchi favoriti da utenti evidentemente meno vigili nella gestione della sicurezza una volta fuori dall’ambiente lavorativo.

Dunque, si profilano interventi trasversali che avranno impatto su quelle realtà che operano una gestione massiva di dati. Si tratta spesso di organizzazioni in ambito B2C, senza tralasciare questioni prettamente aziendali come il breach o il whistleblowing.

Ricordiamo che, rispetto all’obbligo di adottare e recepire il GDPR secondo un principio di accountability, tutte le scelte operate dai Titolari devono essere storicizzate e ne deve essere data evidenza durante eventuali controlli.

Riproduzione riservata ©

ALTRE NEWS

Cyber resilience per la sicurezza aziendale

Secondo l’ultimo rapporto del 2016 reso noto dal CLUSIT (Associazione Italiana per la Sicurezza Informatica), il 2015 è stato l’anno che ha visto una crescita… Leggi Tutto

Art 4. L. 300 del 1970: una nuova lettura dei diritti del datore di lavoro?

Con sentenza del 10 giugno 2010 n. 20722, la Cassazione penale, V Sezione, ha ammesso la legittimità delle videoriprese fatte da parte del datore di… Leggi Tutto

Consenso dei lavoratori all’installazione dell’impianto di videosorveglianza evoluzione o involuzione della Cassazione?

L’annosa questione datore di lavoro e ripresa diretta dei dipendenti sul luogo di lavoro, torna a far discutere. Questa volta ad accedere il dibattito è… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.