L’Autorità Garante per la protezione dei dati personali ha pubblicato il Piano dell’attività ispettiva in relazione al periodo gennaio-giugno 2021.
Con la Deliberazione del 10 dicembre 2020, l’Autorità Garante per la protezione dei dati personali ha pubblicato il Piano dell’attività ispettiva, curata anche per mezzo della Guardia di finanza, in relazione al periodo gennaio-giugno 2021. Vediamo le principali novità.
Premessa: il potere di indagine dell’Autorità e il rapporto con la G.d.F.
In base al disposto dell’art. 58 del GDPR, ad ogni Autorità di controllo vengono attribuiti determinati poteri. Oltre ai poteri correttivi, autorizzativi e consultivi, vi sono i poteri di indagine, che conferiscono al Garante la facoltà di condurre indagini, ottenere l’accesso ai dati e a tutte le informazioni necessarie per l’esecuzione dei compiti di controllo, ottenere l’accesso ai locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati, in conformità con il diritto dell'Unione o il diritto processuale degli Stati membri.
Ogni Stato membro può prevedere per legge che la rispettiva Autorità di controllo abbia ulteriori poteri rispetto a quelli previsti dal GDPR. Il Codice Privacy armonizzato, definisce l’attività ispettiva del Garante al Capo III – Accertamenti e controlli.
L’art. 158, in particolare, ribadisce il potere di accesso del Garante alle banche di dati o agli archivi, al fine di effettuare verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali. Il c. 3 dell’articolo in esame, inoltre, prevede la collaborazione di altri organi di stato.
Alla base del rapporto con la Guardia di Finanza, vi è un Protocollo d’Intesa, aggiornato nel 2016, che prevede espressamente la collaborazione della G.d.F. con l’Autorità Garante. In particolare, il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche collabora all’attività ispettiva condotta dall’Autorità attraverso:
- il reperimento di dati e informazioni sui soggetti da controllare;
- l’assistenza nei rapporti con le Autorità Giudiziarie;
- la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento;
- lo sviluppo delle attività delegate o sub-delegate per l’accertamento delle violazioni di natura penale o amministrativa;
- la contestazione delle sanzioni amministrative rilevate nell’ambito delle attività delegate;
- l’esecuzione di indagini conoscitive sullo stato di attuazione della Legge in settori specifici.
Le caratteristiche del Piano ispettivo periodico
Il Piano delle attività ispettive di iniziativa curate dall'Ufficio del Garante, anche per mezzo della Guardia di finanza, determina a cadenza semestrale i settori che saranno sottoposti ad accertamenti; le categorie di soggetti coinvolti (titolari del trattamento privati e/o pubblici); gli obiettivi numerici (ovvero il numero di ispezioni in programma). Il Garante considera i procedimenti ispettivi e sanzionatori in corso nonché quelli avviati sulla base della precedente programmazione e non ancora conclusi.
Rispetto al Piano ispettivo del secondo semestre 2020, che prevalentemente mirava a dare continuità alle operazioni avviate nel corso del primo semestre dell’anno passato, il nuovo Piano ispettivo presenta delle novità.
Le novità del nuovo Piano ispettivo
Già fra le premesse/considerando l’Autorità richiama l’emergenza epidemiologica nazionale legata alla diffusione di Sars-Cov-2, che, oltre ad aver causato una crisi del settore sanitario, ha amplificato i rischi connessi alla maggiore dipendenza da dati e tecnologie, in particolare in termini di sorveglianza, “rendendo evidente la necessità di applicare meccanismi di garanzia a salvaguardia dei diritti e delle libertà fondamentali all’esito di opportune iniziative conoscitive, anche di tipo ispettivo”.
Fra gli ambiti sottoposti ad accertamenti, in riferimento a profili di interesse generale, il primo dà seguito al sopracitato considerando, e ricomprende i trattamenti di dati biometrici per il riconoscimento facciale, anche mediante sistemi di videosorveglianza. Nel 2020 abbiamo assistito, infatti, ad una crescita esponenziale del ricorso a questi strumenti, fra cui termoscanner in grado di rilevare la temperatura corporea mediante sistemi di lettura ad infrarossi. Il controllo degli accessi, in tale contesto, è divenuto così un trattamento particolarmente delicato, che espone gli interessati a rischi, soprattutto nel caso in cui tali mezzi non siano configurati ed utilizzati nel rispetto dei principi del GDPR.
Altri due ambiti sottoposti a controlli non erano previsti nei precedenti Piani ispettivi:
- trattamenti di dati personali nel settore della c.d. “videosorveglianza domestica” e nel settore dei sistemi audio/video applicati ai giochi (c.d. giocattoli connessi);
- trattamenti di dati personali effettuati da "data broker”.
Vengono invece confermati in controlli relativamente a trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”. Permane anche la categoria dei “data breach”, a conferma dell’attenzione posta dall’Autorità al tema delle violazioni di dati personali.
Ambito di applicazione dei controlli e numeri previsti
I controlli sono indirizzati a titolari del trattamento pubblici e privati, in relazione a:
- la verifica dei presupposti di liceità del trattamento e alle condizioni per il consenso (qualora il trattamento sia fondato su tale base giuridica)
- il rispetto dell’obbligo dell’informativa
- il rispetto dei termini di conservazione dei dati personali
L’Autorità specifica inoltre che l’attività verrà svolta “prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati”.
L’attività ispettiva programmata riguarderà 50 accertamenti ispettivi di iniziativa effettuati anche a mezzo della Guardia di Finanza. Il numero di ispezioni previste torna quindi ad aumentare, rispetto alle 30 previste nel secondo semestre del 2020. Resta fermo il fatto che l’Ufficio del Garante potrà svolgere ulteriori attività ispettive e di revisione d’ufficio, ovvero in relazione a segnalazioni o reclami proposti.
Per ulteriori informazioni, la Deliberazione dell’Autorità è disponibile al seguente link.
***
Segue cronistoria degli ambiti sottoposti a controlli a partire dall’anno in cui il GDPR è divenuto applicabile:
Deliberazione del 1° febbraio 2018 - gennaio-giugno 2018
- trattamenti di dati sanitari effettuati dalle ASL in relazione al trasferimento degli stessi in favore di terzi per il loro utilizzo a fini di ricerca
- trattamenti effettuati dall´ISTAT, per una verifica preliminare sul SIM (Sistema Integrato di Microdati) e altri sistemi informativi statistici come da parere sul programma statistico nazionale del 20 ottobre 2015
- trattamenti di dati personali effettuati per il rilascio dell´identità federata (SPID)
- trattamenti di dati personali effettuati da società per attività di telemarketing in relazione alle numerose segnalazioni pervenute all´Autorità
- trattamenti di dati effettuati da società per attività di rating sul rischio e sulla solvibilità delle imprese
Deliberazione del 26 luglio 2018 - luglio-dicembre 2018
- trattamenti di dati effettuati da società/enti che gestiscono banche dati di rilevanti dimensioni
- trattamenti di dati personali effettuati presso istituti di credito relativamente alla legittimità della consultazione e del successivo utilizzo di dati da parte di soggetti aventi diritto, anche in riferimento al tracciamento degli accessi e a correlate misure di protezione
- trattamenti di dati personali effettuati da società per attività di telemarketing
Deliberazione del 14 febbraio 2019 - gennaio-giugno 2019
- trattamenti effettuati dall’ISTAT, per una verifica preliminare sul SIM (Sistema Integrato di Microdati) e altri sistemi informativi statistici come da parere sul programma statistico nazionale del 20 ottobre 2015
- trattamenti di dati personali effettuati per il rilascio dell’identità federata (SPID)
- trattamenti di dati personali effettuati da Istituti bancari, con particolare riferimento ai flussi di cui all’anagrafe dei conti
- trattamenti di dati personali effettuati da società per attività di marketing
- trattamenti di dati personali effettuati da Enti pubblici, con riferimento a banche dati di notevoli dimensioni
- trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione
Deliberazione del 12 settembre 2019 - luglio-dicembre 2019
- trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing)
- trattamenti di dati personali effettuati da Istituti bancari, con particolare riferimento ai flussi verso l’anagrafe dei conti
- trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica
- trattamenti di dati personali effettuati da società per attività di marketing
- trattamenti di dati personali effettuati da Enti pubblici, con riferimento a banche dati di notevoli dimensioni
- trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione
- trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”
- trattamenti di dati personali in ambito sanitario effettuati da parte di società private
Deliberazione del 6 febbraio 2020 - gennaio-giugno 2020
- trattamenti di dati personali effettuati da Enti pubblici relativamente alla c.d. medicina di iniziativa
- trattamenti di dati relativi alla salute effettuati da società multinazionali operanti nel settore farmaceutico e sanitario
- trattamento di dati personali effettuati nel quadro dei servizi bancari on line
- trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing)
- trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica
- trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR
- trattamenti di dati personali effettuati da società private ed Enti pubblici per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center
- trattamenti di dati personali effettuati da società per attività di marketing
- trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione
- trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”
- trattamento di dati personali effettuati da società private in tema di banche reputazionali
- data breach
Deliberazione del 1° ottobre 2020 - luglio-dicembre 2020
- trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d.whistleblowing)
- trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica
- trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR
- trattamenti di dati personali effettuati da società private ed Enti pubblici per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center
- trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”
- trattamento di dati personali effettuati da società private in tema di banche reputazionali
- data breach
Deliberazione del 10 dicembre 2020 - gennaio-giugno 2021
- trattamenti di dati biometrici per il riconoscimento facciale anche mediante sistemi di videosorveglianza*
- trattamenti di dati personali nel settore della c.d. “videosorveglianza domestica” e nel settore dei sistemi audio/video applicati ai giochi (c.d. giocattoli connessi)*
- trattamenti di dati personali effettuati da "data broker”*
- trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”
- data breach
* Novità