Piano ispettivo del Garante Privacy: quali sono i principali destinatari

18/11/2020
di Valentina Frediani

Dal Il Caffé Digitale (The Innovation Group) 

Pubblicato il piano ispettivo dell’Autorità di Controllo per la protezione dei dati personali, valido sino a fine anno 2020. L’Autorità, periodicamente, stabilisce le priorità di controllo rispetto alle risorse disponibili per poter effettuare l’attività ispettiva di iniziativa. L’impegno si concretizza in interventi in loco da parte dell’Ufficio – o delegando la Guardia di Finanza – nei luoghi dove si effettuano i trattamenti di dati; dove occorre effettuare rilevazioni comunque utili al medesimo controllo; nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni (che sono l’altra “origine” dei controlli).

Analizziamo dunque gli ambiti indicati dall’Autorità. Innanzi tutto, dobbiamo premettere che l’attività ispettiva di iniziativa è suddivisa in: “controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati” e “accertamenti in riferimento a profili di interesse generale per categorie di interessati”.

Gli accertamenti riguarderanno innanzi tutto il cosiddetto whistleblowing ovvero quei trattamenti di dati personali effettuati mediante l’uso di applicativi per la gestione delle segnalazioni di condotte illecite (si pensi al tema 231). Su questo tema era già intervenuta l’Autorità Garante perché si pone la necessità di porre particolare attenzione alle garanzie a favore degli interessati che, rilasciando informazioni funzionali a eventuali indagini su illeciti, possono dare esposizione del proprio rapporto lavorativo. Ciò ricade sugli strumenti di trattamento, dei quali occorre dimostrare l’analisi del rischio e le misure conseguenziali, ma anche sul processo organizzativo del flusso dei dati stessi e sulla loro conservazione. Sotto verifica anche la presenza di idonea informazione preventiva verso l’interessato che carica i dati di riferimento.

Destinatari degli accertamenti anche i trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica. In questo caso si tratterà di effettuare controlli funzionali alla verifica – in particolare – di tematiche connesse alla protezione, in considerazione delle importanti masse dati.

Si rinnova poi l’attenzione, prestata anche nel primo semestre 2020 con provvedimenti ad hoc, verso quelle realtà che gestiscono e registrano le telefonate nell’ambito della prestazione di servizi di call center. Le sempre frequenti segnalazioni al Garante, non fanno che evidenziare come questo ambito non sia sufficientemente gestito in conformità, in particolare laddove sussistano esternalizzazioni “selvagge” che non tengono in considerazione le prescrizioni del GDPR.

Possiamo sicuramente affermare, anche in considerazione degli esiti dei controlli come emersi dalle comunicazioni dell’Autorità, che appaiono piuttosto scarni gli accordi contrattuali e, soprattutto, raramente presenti audit adeguati da parte dei Titolari. Ciò non fa che aumentare il livello di attenzione da parte dell’Autorità.

Inoltre, condizionati dalla pandemia e dal lockdown, sotto la lente anche il settore del Food Delivery in considerazione dei dati dei consumatori sempre più oggetto di raccolta e di potenziale profilazione, oltre che massivamente trattati, che rendono necessaria una tutela effettiva.

Infine, gli accertamenti riguarderanno anche gli enti pubblici (con particolare riferimento ai sistemi di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR) ed il tema, più generico, del data breach.

Su quest’ultimo possiamo osservare come, negli ultimi mesi, il ricorso allo smart working abbia provocato un aumento importante degli attacchi favoriti da utenti evidentemente meno vigili nella gestione della sicurezza una volta fuori dall’ambiente lavorativo.

Dunque, si profilano interventi trasversali che avranno impatto su quelle realtà che operano una gestione massiva di dati. Si tratta spesso di organizzazioni in ambito B2C, senza tralasciare questioni prettamente aziendali come il breach o il whistleblowing.

Ricordiamo che, rispetto all’obbligo di adottare e recepire il GDPR secondo un principio di accountability, tutte le scelte operate dai Titolari devono essere storicizzate e ne deve essere data evidenza durante eventuali controlli.

Riproduzione riservata ©

ALTRE NEWS

Speciale Proprietà intellettuale. Marchi, domini e copyright: la tutela in India

Proprietà Intellettuale India Proprietà Intellettuale in India, come avviene la protezione del portafogli IP in quel Paese? Prosegue il nostro viaggio intorno al Global-IP. L’economia… Leggi Tutto

Garante e GDPR: i punti caldi per le imprese

Il Provvedimento Come noto in sede di Deliberazione del 16 febbraio scorso, il Garante per la protezione dei dati personali ha avuto occasione di pianificare… Leggi Tutto

Colin Focus Day: Dal Codice Privacy al Regolamento Europeo, aspetti di rilevanza legale per le aziende italiane

Si svolgerà il 3 febbraio, a Milano, il primo Colin Focus Day del 2016 per focalizzare l’impatto che il Regolamento Europeo in materia di privacy… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.