Attività ispettiva del Garante privacy: il nuovo piano per il secondo semestre 2019

Con la deliberazione del 12 settembre 2019, il Garante per la protezione dei dati personali ha rinnovato il piano di ispezioni per il secondo semestre dell’anno, che si concluderà a dicembre 2019.
La prima parte della programmazione ha interessato il periodo gennaio-giugno:  nei primi sei mesi del 2019, sono state portate a conclusione un totale di 65 ispezioni, che hanno interessato, tra l’altro, call center, aziende di marketing, provider SPID, grandi alberghi, banche dati di rilevanti dimensioni della PA.

 

Il dettaglio del nuovo piano

Per la nuova fase del piano, che conterà un totale di 100 accertamenti ispettivi, l’Ufficio del Garante rinnoverà la collaborazione con la Guardia di finanza. I controlli sono indirizzati in particolare a:

a) accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:

  • trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing);
  • trattamenti di dati personali effettuati da Istituti bancari, con particolare riferimento ai flussi verso l’anagrafe dei conti;
  • trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica;
  • trattamenti di dati personali effettuati da società per attività di marketing;
  • trattamenti di dati personali effettuati da Enti pubblici, con riferimento a banche dati di notevoli dimensioni;
  • trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione;
  • trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”;
  • trattamenti di dati personali in ambito sanitario effettuati da parte di società private.

b) controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati.

 

Lo scopo dell’attività ispettiva

L’attività ispettiva ha lo scopo di verificare che il trattamento dei dati personali venga svolto secondo quanto stabilito dal Regolamento (UE) 679/2016, tenendo conto anche delle sanzioni in cui si incorre in caso di mancato adempimento della normativa (sanzioni che si elevano fino a 20 milioni di euro o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore).

 

Le sanzioni e l’importanza della definizione di un piano formativo

Pertanto, è certo che la definizione di un piano formativo in grado di armonizzare le competenze interne delle diverse funzioni coinvolte sia indispensabile per un corretto processo di adeguamento alla normativa in materia di protezione dei dati personali, considerando lo spirito funzionale che anima il GDPR.

La formazione infatti, oltre a costituire un “prerequisito” per potere operare all’interno delle organizzazioni, imprese e pubbliche amministrazioni, dovrebbe essere finalizzata a illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche e informatiche adottate, nonché le  le sanzioni derivate dalla mancanza di adeguata responsabilizzazione.

Quindi, istituti bancari, intermediari di servizi fatturazione elettronica e sanità digitale, in primis, ma in ogni caso tutti coloro che trattano dati in settori IT, se vogliono evitare pesanti sanzioni devono avviare politiche di compliance rigorose, che partano anche dalla diffusa consapevolezza dei rischi, attraverso un’adeguata formazione basata su piani di aggiornamento in grado di soddisfare il reale fabbisogno degli “addetti ai lavori”.

Da qui nasce l’idea del nuovo percorso formativo targato Studio Legale Lisi Academy, un ciclo di Webinar di formazione per gli autorizzati al trattamento , un’occasione unica di confronto e di formazione specifica, pensata per fornire indicazioni pratiche agli autorizzati al trattamento circa la corretta gestione dei dati personali nell’esecuzione delle prestazioni lavorative, dal forte taglio operativo.