Il Garante per la protezione dei dati personali ha definito, attraverso la deliberazione del 14 febbraio 2019, il programma delle ispezioni di ufficio pianificate nel primo semestre 2019 ed individua molteplici specifiche aree di intervento.
La sopra citata delibera è stata adottata, nell’ottica di trasparenza e di comunicazione istituzionale.
Il Garante definisce, attraverso il piano, le priorità in relazione alle risorse disponibili, e individua principi e criteri dell’attività ispettiva.
Indice degli argomenti
Piano di ispezioni del Garante: i dettagli
Il documento riveste particolare interesse in quanto definisce la programmazione delle ispezioni successiva ad un anno dalla diretta applicazione del Regolamento privacy europeo 679/2016 del 25 maggio 2018. Il sopra citato Regolamento (art. 58) e il decreto di armonizzazione 101 del 2018 che ha novellato gli artt. 157 e 158 del Codice della Privacy confermano e rafforzano i poteri di indagine delle Autorità Garanti per la Protezione dei dati personali.
L’attività ispettiva di iniziativa del Garante ricomprende l’accertamento in loco curato dal personale dell’Ufficio o delegato alla Guardia di finanza nei luoghi dove si effettuano i trattamenti di dati, o nei quali occorre effettuare rilevazioni comunque utili al medesimo controllo, nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni.
La collaborazione con la Guardia di Finanza si inserisce nella cornice del protocollo di intesa del 10 marzo 2016 siglato dalla Guardia di Finanza e dal Garante per la Protezione dei dati personali che consolida le sinergie operative sviluppate tra le due istituzioni sancito dai precedenti protocolli (26 settembre 2002; 11 novembre 2015). Il sopra citato prezioso protocollo è in fase di aggiornamento in questi mesi.
Il Garante illustra che le attività d’ispezioni saranno indirizzate agli accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di molteplici trattamenti.
Le ispezioni riguarderanno:
- trattamenti di dati personali effettuati da società per attività di marketing;
- trattamenti di dati personali effettuati da Istituti bancari, con particolare riferimento ai flussi di cui all’anagrafe dei conti;
- trattamenti di dati personali effettuati da Enti pubblici, con riferimento a banche dati di notevoli dimensioni;
- trattamenti di dati personali effettuati per il rilascio dell’identità federata (SPID);
- trattamenti effettuati dall’ISTAT, per una verifica preliminare sul SIM (Sistema Integrato di Microdati) e altri sistemi informativi statistici come da parere sul programma statistico nazionale del 20 ottobre 2015;
- trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione.
Ispezioni del Garante: su chi si focalizzeranno
Le ispezioni programmate si focalizzano sui controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati.
L’ottica del Garante si concentra sui profili sostanziali del trattamento che spiegano significativi effetti sugli interessati.
Il Garante privacy relaziona sul bilancio 2018 dell’attività ispettiva dell’Autorità e conferma l’incremento dell’attività sanzionatoria già registrato nel precedente anno.
Nel corso del 2018 sono state adottate 175 ordinanze-ingiunzione, a fronte delle 109 del 2017 ed è stato rilevato un notevole aumento delle somme riscosse pari a 8.161.806 euro, a fronte dei 3.776.694 euro registrati nel 2017 (con una variazione positiva del +116%).
Il Garante sottolinea inoltre un incremento del 20% delle violazioni amministrative contestate: 707 nel 2018 rispetto alle 589 contestazioni del 2017. Le contestazioni hanno riguardato la violazione di disposizioni del Codice per illeciti commessi prima della data di applicazione del Regolamento (UE) 2016/679.
Il comunicato stampa che accompagna il piano ispettivo conferma che gli accertamenti, svolti nel 2018 anche con il contributo delle Unità Speciali della Guardia di finanza, Nucleo speciale privacy, hanno riguardato numerosi e delicati settori, sia nell’ambito pubblico che privato.
Nel settore privato le ispezioni si sono rivolte principalmente ai trattamenti effettuati: dagli istituti di credito, da società per attività di rating sul rischio e sulla solvibilità delle imprese, da società che svolgono attività di telemarketing, da società che offrono servizi di “money transfer”.
Le attività di accertamento del Garante si sono concentrate anche sui trattamenti di dati svolti da società assicuratrici attraverso l’installazione di “scatole nere” a bordo degli autoveicoli e da società che offrono servizi medico-sanitari tramite app.
Il Garante ha fatto diversi accertamenti relativi al settore pubblico l´attività di verifica si è concentrata su enti pubblici, soprattutto Comuni e Regioni, che svolgono trattamenti di dati personali mediante app per smartphone e tablet, con particolare attenzione all’eventuale profilazione e geolocalizzazione degli utenti; sulle grandi banche dati; sul sistema della fiscalità, con speciale riguardo alle misure di sicurezza e al sistema degli audit; sul sistema informativo dell´Istat e sullo SPID.
Il Garante ha focalizzato l’attenzione sui trattamenti di dati delle asl e la relativa comunicazione di dati a terzi per il loro utilizzo a fini di ricerca.
Il Garante sottolinea come siano invece diminuite le segnalazioni all’autorità giudiziaria: 27 nel 2018 rispetto alle 41 del 2017.
Il piano di ispezioni è di interesse in quanto dimostra lo sforzo e l’importanza del ruolo dell’Autorità Garante, la cui visione in ambito ispettivo non sarà solo concentrata sulle violazioni ma su come l’organizzazione dimostri di essere accountability nelle proprie attività quotidiane.
