Il Garante ha definito il programma delle ispezioni di ufficio

Milano, 20 febbraio 2020 – Mentre si fanno sempre più insistenti le voci di un ulteriore slittamento delle nomine del nuovo Collegio, con la deliberazione del 6 febbraio 2020 il Garante per la Protezione dei Dati Personali ha definito il programma delle ispezioni di ufficio pianificate nel primo semestre, individuando le aree di intervento, i principi e i criteri dell’attività ispettiva e le risorse disponibili.

Le ispezioni riguarderanno sia il settore pubblico sia il settore privato.

In ambito pubblico l’attenzione del Garante per la Protezione dei Dati Personali, si concentrerà sui seguenti profili:

  • trattamenti di dati personali effettuati da Enti pubblici relativamente alla c.d. medicina di iniziativa (un modello assistenziale di gestione delle malattie croniche che non aspetta il cittadino in ospedale, ma gli “va incontro” prima che le patologie insorgano o si aggravino, garantendo quindi al paziente interventi adeguati e differenziati in rapporto al livello di rischio, puntando anche sulla prevenzione e sull’educazione)
  • trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing)
  • trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR.

Nel settore privato l’attività di ispezione del Garante sarà focalizzata sui seguenti profili:

  • trattamenti di dati relativi alla salute effettuati da società multinazionali operanti nel settore farmaceutico e sanitario
  • trattamento di dati personali effettuati nel quadro dei servizi bancari on line
  • trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica
  • trattamenti di dati personali effettuati da società private ed Enti pubblici per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center
  • trattamenti di dati personali effettuati da società per attività di marketing
  • trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione
  • trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”
  • trattamento di dati personali effettuati da società private in tema di banche reputazionali.

Le ispezioni programmate si focalizzano sui seguenti aspetti, che concernono le varie manifestazioni di accountability di una organizzazione nello svolgimento delle proprie attività:

  • misure in materia di data breach
  • presupposti di liceità del trattamento
  • condizioni per il consenso qualora il trattamento sia basato su tale presupposto
  • rispetto dell’obbligo dell’informativa
  • durata della conservazione dei dati.

Il piano in esame specifica che l’attività ispettiva programmata riguarderà n. 80 accertamenti ispettivi di iniziativa effettuati anche a mezzo della Guardia di Finanza, con facoltà dell’Ufficio di svolgere ulteriori attività ispettive e di revisione d’ufficio ovvero in relazione a segnalazioni o reclami proposti.

I poteri del Garante in ambito ispettivo sono disciplinati dal Regolamento n. 1/2019 della stessa Autorità concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la Protezione dei Dati Personali.
Il sopracitato regolamento prevede che “Nel corso dell’attività ispettiva, della quale può essere dato preavviso, è possibile, in particolare:
a) controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico;
b) richiedere informazioni e spiegazioni;
c) accedere alle banche dati ed agli archivi;
d) acquisire copia delle banche dati e degli archivi su supporto informatico
”.

Durante l’attività ispettiva il soggetto sottoposto ad ispezione può farsi assistere da consulenti di propria fiducia e fare riserva di produrre la documentazione non immediatamente reperibile entro un termine congruo, di regola non superiore a trenta giorni; in casi eccezionali, può essere richiesto un differimento di tale termine.

Centrale, nello svolgimento dell’attività ispettiva, la collaborazione con la Guardia di Finanza con la quale sta per essere aggiornato il relativo protocollo di intesa (datato del 10 marzo 2016) in considerazione delle modifiche organizzative intervenute medio tempore (la soppressione del Nucleo speciale privacy e l’istituzione del “Nucleo speciale tutela privacy e frodi tecnologiche”). Il nuovo protocollo d’intesa prevede dal punto di vista strategico che il Garante potrà avvalersi di personale specializzato del Corpo anche per la conduzione di ispezioni congiunte con altre autorità estere e un aumento delle risorse in considerazione delle complesse sfide anche tecnologiche che attendono l’Autorità.

 

_________
DISCLAIMER
Il presente comunicato è divulgato a scopo conoscitivo per promuovere il valore dell’informazione giuridica. Non costituisce un parere e non può essere utilizzato come sostitutivo di una consulenza, né per sopperire all’assenza di assistenza legale specifica.