Con il provvedimento n. 339 del 3 agosto 2023 l’Autorità Garante privacy ha deliberato il piano ispettivo per il secondo semestre 2023 (luglio-dicembre 2023).
In particolare, il piano ispettivo del secondo semestre si focalizzerà sul settore energetico, sui trattamenti in ambito statistico e scientifico (con un focus sulla pseudonimizzazione) e su quelli relativi ai dati biometrici (anche) nel contesto lavorativo.
L’ attività di accertamento verrà svolta in collaborazione con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza e riguarderà almeno 35 accertamenti ispettivi.
Ricordiamo che il piano ispettivo del Garante per la protezione dei dati personali, emanato ogni semestre, offre interessanti spunti di riflessione e fornisce un quadro dettagliato delle priorità dell’autorità per l’anno in corso, indicando chiaramente quali settori saranno sottoposti a un esame più approfondito.
Indice degli argomenti
Piano ispettivo del Garante privacy: gli ambiti di controllo
Come dicevamo, dunque, dopo aver indagato sulle pratiche di telemarketing nel primo semestre, il Garante ha deciso di estendere l’indagine anche al settore energetico.
L’attenzione è particolarmente centrata su come le compagnie energetiche raccolgono e utilizzano i dati personali dei clienti, spesso attraverso pratiche di telemarketing aggressive o poco trasparenti.
Questo focus è significativo dato che il settore energetico è uno dei più grandi detentori di dati, che vanno dai dettagli del consumo energetico domestico a informazioni di pagamento.
La conformità in questo settore è quindi cruciale per la protezione dei dati personali dei consumatori.
Un’altra area di crescente interesse è quella dei trattamenti statistici e scientifici, in particolare quando si tratta di pseudonimizzazione, una tecnica utilizzata per proteggere l’identità delle persone coinvolte nei trattamenti.
La pseudonimizzazione è un processo che rende molto più difficile risalire all’individuo a cui si riferiscono i dati, senza però renderli completamente anonimi.
Il Garante intende garantire che questa tecnica sia effettuata seguendo gli standard più elevati, in modo da proteggere la privacy degli individui, ma anche per facilitare ricerche scientifiche e statistiche responsabili.
Ultimo, ma non per ultimo, il piano ispettivo prenderà in considerazione l’uso dei dati biometrici nell’ambito del rapporto di lavoro.
Che si tratti di riconoscimento facciale per l’accesso ai locali aziendali o di impronte digitali per l’utilizzo di determinati strumenti, il trattamento di dati biometrici solleva questioni complesse riguardanti il consenso, la sicurezza e i diritti dei lavoratori.
Le ispezioni in questo settore mirano a garantire che l’uso dei dati biometrici rispetti le leggi sulla privacy e i diritti dei dipendenti, e che le aziende prendano tutte le misure necessarie per proteggere questi dati.
Gli ambiti di intervento del primo semestre
Nella prima metà dell’anno, l’autorità ha deciso di concentrare i propri sforzi su alcune aree tematiche chiave e, in particolare, sui gestori dell’identità digitale e i fornitori di servizi che utilizzano SPID e CIE, sulla corretta applicazione delle linee guida sui cookie, sul telemarketing e sulle tessere di fidelizzazione.
In un’epoca in cui l’identità digitale sta assumendo un ruolo sempre più centrale nelle nostre vite, la vigilanza sui gestori di questi servizi è di fondamentale importanza. Parliamo infatti di strumenti come SPID (Sistema Pubblico di Identità Digitale) e CIE (Carta d’Identità Elettronica), che sono diventati indispensabili per accedere a una vasta gamma di servizi pubblici e privati. Le ispezioni in questo ambito hanno avuto l’obiettivo di garantire che tali servizi siano gestiti in modo sicuro e conforme alle leggi sulla privacy. In particolare, il Garante ha inteso assicurare che i dati raccolti siano strettamente necessari per gli scopi dichiarati e che siano conservati in modo sicuro.
Il secondo elemento di focalizzazione del primo piano ispettivo è stato l’uso dei cookie da parte dei siti web. Con l’obiettivo di assicurare la conformità alle Linee guida relative ai cookie (in vigore ormai da gennaio 2022), il Garante ha voluto fare chiarezza sulla legittimità delle varie tecniche di tracciamento online. Questo è particolarmente rilevante in un momento in cui la pubblicità online è sempre più personalizzata e, di conseguenza, invasiva.
Per quanto riguarda le pratiche di telemarketing e l’uso delle tessere di fidelizzazione, entrambe queste aree implicano una raccolta significativa di dati personali e, in alcuni casi, possono essere fonte di abusi. Le ispezioni hanno avuto quindi l’obiettivo di assicurare che le aziende rispettino i requisiti normativi riguardanti la raccolta, l’elaborazione e la conservazione dei dati personali, inclusa la necessità di ottenere un consenso informato da parte degli individui.
Nessuna ispezione sui trasferimenti dati extra UE
Interessante notare che, a differenza dell’anno precedente, il piano per il 2023 non prevede ispezioni sui trasferimenti di dati fuori dall’Unione Europea.
Questo è particolarmente rilevante, dato che il 10 luglio 2023, la Commissione Europea ha introdotto il Data Privacy Framework. Questa decisione di adeguatezza sostiene che gli Stati Uniti offrono un livello di protezione dei dati conforme agli standard europei, permettendo così il trasferimento di dati personali a specifiche organizzazioni che vi aderiranno.
Va anche sottolineato che l’European Data Protection Board nell’esprimere parere favorevole ha evidenziato l’opportunità dell’inserimento di una clausola di riesame almeno ogni quattro anni.
Piano ispettivo del Garante privacy: implicazioni per le aziende
Il Rapporto annuale del Garante per il 2022 e i dati disponibili per il 2023 mostrano che l’attività ispettiva dell’autorità non è solo un esercizio accademico o di sensibilizzazione, ma ha implicazioni finanziarie concrete per le aziende e altre organizzazioni che non rispettano le normative sulla protezione dei dati.
Nel 2022, le sanzioni pecuniarie ammontavano a circa 9,5 milioni di euro mentre, fino al 31 agosto 2023, sono già state emesse sanzioni per oltre 13 milioni di euro.
Il dato parrebbe evidenziare un netto aumento nella severità e nella frequenza delle sanzioni, un segno che il Garante sta intensificando i suoi sforzi per far rispettare la legge.
E tuttavia sarebbe sbagliato considerare tali dati in assenza di contesto. Infatti, l’ammontare delle sanzioni dipende da una serie di fattori che il Garante tiene sempre in debita considerazione e tra i quali rientrano, per esempio, il carattere doloso o colposo della violazione, la recidiva e l’ammontare del fatturato annuo. Mentre le cifre possono sembrare considerevoli, il loro peso reale è proporzionato affinché le stesse abbiano natura dissuasiva.
Cosa impariamo dalle recenti sanzioni privacy
Vediamo qualche esempio.
Uno dei casi più emblematici di questo anno è la sanzione da 7,6 milioni di euro nei confronti di TIM S.p.A.. Sebbene a prima vista questa cifra possa sembrare enorme, corrisponde all’1,5% del massimo edittale calcolato rispetto al fatturato della società.
Un altro caso degno di nota è la sanzione da 300 mila euro irrogata a La Rinascente S.p.A.. Anche in questo caso l’importo, pur essendo considerevole, rappresenta solo lo 0,066% dell’ultimo fatturato disponibile dell’azienda.
Anche la PA rientra nel piano ispettivo del Garante
Non solo le aziende private sono state soggette a sanzioni. Anche enti come ASL, Comuni e l’Associazione Nazionale Magistrati sono stati colpiti. Ad esempio, l’Associazione Nazionale Magistrati è stata sanzionata a gennaio per 5.000 euro, dimostrando che nessun settore è al di fuori della portata del Garante.
Si auspica che il processo di sensibilizzazione portato avanti dal Garante, in uno a quello ispettivo e sanzionatorio, dia presto i suoi frutti; soltanto così i dati personali potranno dirsi davvero protetti.
