L’Autorità Garante per la protezione dei dati personali ha adottato il piano ispettivo per il secondo semestre di quest’anno e dunque per il periodo luglio-dicembre 2020.
Il piano è stato diffuso con la newsletter pubblicata sul sito del Garante il 26 ottobre 2020.
Con tale documento sono stati delineati i settori di attività su cui sarà indirizzata l’attività ispettiva svolta su iniziativa del Garante, attività condotta anche con l’ausilio del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza. Resta fermo che, valutata la sussistenza di eventi di particolare rilevanza, il Garante potrà disporre altre attività ispettive e svolgere ulteriori attività istruttorie sia d’ufficio sia in relazione a segnalazioni o reclami proposti.
Il piano ispettivo si pone in parte in continuità con quello relativo al primo semestre del 2020 e riguarda i trattamenti di dati svolti nell’ambito di settori particolarmente delicati.
L’attività ispettiva sarà in particolare indirizzata ad accertamenti nell’ambito di trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing), trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica, trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile attraverso l’accesso ad ANPR, trattamenti di dati personali effettuati da società private ed Enti pubblici per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center, trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery” e trattamenti di dati personali effettuati da società private in tema di banche reputazionali. L’attività ispettiva sarà inoltre indirizzata ai “data breach”.
Con particolare riferimento all’ultimo punto, il controllo sui “data breach”, tale attività si colloca all’esito dei primi due anni di applicazione del GDPR e delle specifiche norme ivi contenute in tema di violazione dei dati personali ai sensi dell’art. 33 e ss. Il Garante avrà dunque modo di verificare le procedure interne poste in essere dai titolari e responsabili del trattamento per la gestione di un “data breach”, dal rilevamento iniziale della violazione, alla valutazione se notificare la perdita del dato al Garante o anche agli interessati e alla documentazione finale delle violazioni avvenute.
Come evidenziato dallo stesso piano ispettivo, l’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, sarà indirizzata ai controlli nei confronti dei soggetti, sia pubblici che privati “sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati”.
E’ evidente dunque che il controllo sui soggetti individuati, appartenenti a categorie omogenee, riguarderà l’intero “ciclo” di trattamento del dato personale, dalla base giuridica del trattamento, alle condizioni per il consenso, al rilascio di una informativa completa ed infine alla cancellazione del dato al termine della durata di trattamento consentita.
La lettura del suddetto piano ispettivo diventa maggiormente significativa all’esito di un confronto con l’attività ispettiva e sanzionatoria svolta dal Garante nel primo semestre del 2020.
Tale attività, come comunicato dal Garante nella propria Newsletter, registra intanto un notevole incremento delle entrate complessive derivanti dalle sanzioni che passano da 1 milione 223mila euro del primo semestre del 2019 a 7 milioni 108 mila euro, con un aumento del 481%. Sono state effettuate, inoltre, iscrizioni a ruolo per un importo complessivo di 5 milioni 42 mila euro (+124%) a fronte dei 2 milioni 248mila euro del primo semestre 2019, che hanno riguardato trasgressori che non si sono avvalsi della facoltà di definizione agevolata prevista dal decreto legislativo n. 101 del 2018.
L’ufficio del Garante riferirà, alla fine del semestre sull’andamento delle attività ispettive e delle attività istruttorie a carattere ispettivo, a qualunque titolo compiute, ai sensi di quanto previsto dall’art. 9, comma 4, lettera e) del Regolamento n. 1/2000 (come modificato dalla deliberazione n. 374 del 25 giugno 2015).