Piano ispettivo del Garante Privacy: quali sono i principali destinatari

18/11/2020
di Valentina Frediani

Dal Il Caffé Digitale (The Innovation Group) 

Pubblicato il piano ispettivo dell’Autorità di Controllo per la protezione dei dati personali, valido sino a fine anno 2020. L’Autorità, periodicamente, stabilisce le priorità di controllo rispetto alle risorse disponibili per poter effettuare l’attività ispettiva di iniziativa. L’impegno si concretizza in interventi in loco da parte dell’Ufficio – o delegando la Guardia di Finanza – nei luoghi dove si effettuano i trattamenti di dati; dove occorre effettuare rilevazioni comunque utili al medesimo controllo; nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni (che sono l’altra “origine” dei controlli).

Analizziamo dunque gli ambiti indicati dall’Autorità. Innanzi tutto, dobbiamo premettere che l’attività ispettiva di iniziativa è suddivisa in: “controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati” e “accertamenti in riferimento a profili di interesse generale per categorie di interessati”.

Gli accertamenti riguarderanno innanzi tutto il cosiddetto whistleblowing ovvero quei trattamenti di dati personali effettuati mediante l’uso di applicativi per la gestione delle segnalazioni di condotte illecite (si pensi al tema 231). Su questo tema era già intervenuta l’Autorità Garante perché si pone la necessità di porre particolare attenzione alle garanzie a favore degli interessati che, rilasciando informazioni funzionali a eventuali indagini su illeciti, possono dare esposizione del proprio rapporto lavorativo. Ciò ricade sugli strumenti di trattamento, dei quali occorre dimostrare l’analisi del rischio e le misure conseguenziali, ma anche sul processo organizzativo del flusso dei dati stessi e sulla loro conservazione. Sotto verifica anche la presenza di idonea informazione preventiva verso l’interessato che carica i dati di riferimento.

Destinatari degli accertamenti anche i trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica. In questo caso si tratterà di effettuare controlli funzionali alla verifica – in particolare – di tematiche connesse alla protezione, in considerazione delle importanti masse dati.

Si rinnova poi l’attenzione, prestata anche nel primo semestre 2020 con provvedimenti ad hoc, verso quelle realtà che gestiscono e registrano le telefonate nell’ambito della prestazione di servizi di call center. Le sempre frequenti segnalazioni al Garante, non fanno che evidenziare come questo ambito non sia sufficientemente gestito in conformità, in particolare laddove sussistano esternalizzazioni “selvagge” che non tengono in considerazione le prescrizioni del GDPR.

Possiamo sicuramente affermare, anche in considerazione degli esiti dei controlli come emersi dalle comunicazioni dell’Autorità, che appaiono piuttosto scarni gli accordi contrattuali e, soprattutto, raramente presenti audit adeguati da parte dei Titolari. Ciò non fa che aumentare il livello di attenzione da parte dell’Autorità.

Inoltre, condizionati dalla pandemia e dal lockdown, sotto la lente anche il settore del Food Delivery in considerazione dei dati dei consumatori sempre più oggetto di raccolta e di potenziale profilazione, oltre che massivamente trattati, che rendono necessaria una tutela effettiva.

Infine, gli accertamenti riguarderanno anche gli enti pubblici (con particolare riferimento ai sistemi di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR) ed il tema, più generico, del data breach.

Su quest’ultimo possiamo osservare come, negli ultimi mesi, il ricorso allo smart working abbia provocato un aumento importante degli attacchi favoriti da utenti evidentemente meno vigili nella gestione della sicurezza una volta fuori dall’ambiente lavorativo.

Dunque, si profilano interventi trasversali che avranno impatto su quelle realtà che operano una gestione massiva di dati. Si tratta spesso di organizzazioni in ambito B2C, senza tralasciare questioni prettamente aziendali come il breach o il whistleblowing.

Ricordiamo che, rispetto all’obbligo di adottare e recepire il GDPR secondo un principio di accountability, tutte le scelte operate dai Titolari devono essere storicizzate e ne deve essere data evidenza durante eventuali controlli.

Riproduzione riservata ©

ALTRE NEWS

mHealth e privacy: in arrivo le Linee Guida dall’Europa

Entro la fine del 2016 la Commissione Europea è intenzionata ad emanare apposite linee guida che possano salvaguardare al meglio la privacy dei cittadini in… Leggi Tutto

Smau Milano 2013: DI & P Srl racconta la propria esperienza

Si chiude il sipario sulla 50esima edizione di SMAU Milano 2013, una tre giorni dedicata ad esplorare le ultime frontiere delle tecnologie digitali per il… Leggi Tutto

Software di file sharing sul pc aziendale: no al licenziamento del dipendente

Con la sentenza 26379/2013 la Sezione Lavoro della Corte di Cassazione ha assolto un dipendente che aveva installato un software di file sharing sul PC… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.